Trojan.Win32.Agent.azsy

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 417792 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 439KB). Pogram powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera startowego systemu Windows:

%Documents and Settings%\<user_name>\Main Menu\Programs\Startup\uninstall.exe

Funkcje szkodnika

Po powtórnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego ciała plik. Plik będzie miał jedną z poniższych nazw:

%Documents and Settings%\<user_name>\Application Data\svchosts.exe
%Documents and Settings%\<user_name>\Application Data\taskmon.exe
%Documents and Settings%\<user_name>\Application Data\rundll.exe
%Documents and Settings%\<user_name>\Application Data\service.exe
%Documents and Settings%\<user_name>\Application Data\sound.exe
%Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
%Documents and Settings%\<user_name>\Application Data\lsas.exe
%Documents and Settings%\<user_name>\Application Data\logon.exe
%Documents and Settings%\<user_name>\Application Data\helper.exe
%Documents and Settings%\<user_name>\Application Data\event.exe
%Documents and Settings%\<user_name>\Application Data\dumpreport.exe
%Documents and Settings%\<user_name>\Application Data\msiexeca.exe

Rozmiar pliku wynosi 404992 bajtów. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym restartem systemu operacyjnego, trojan umieszcza odsyłacz do rozpakowanego przez siebie pliku w rejestrze systemowym:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd1>" = "<rnd2>"

<rnd1> jest nazwą wybieraną z poniższej listy:

CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

<rnd> jest ścieżką do pliku wypakowanego z trojana znajdującego się na liście wyżej.

Po tym, jak trojan dostarczy swoją szkodliwą funkcję, usunie zarówno swoje ciało jak i swoją kopię "%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe".

Trojan ten nie będzie działał w rosyjskich wersjach systemu Windows.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
2. Usuń następujący klucz rejestru systemowego:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   

   "<rnd1>" = "<rnd2>"

3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
4. Usuń następujące pliki:

   %Documents and Settings%\<user_name>\Application Data\svchosts.exe
   %Documents and Settings%\<user_name>\Application Data\taskmon.exe
   %Documents and Settings%\<user_name>\Application Data\rundll.exe
   %Documents and Settings%\<user_name>\Application Data\service.exe
   %Documents and Settings%\<user_name>\Application Data\sound.exe
   %Documents and Settings%\<user_name>\Application Data\upnpsvc.exe
   %Documents and Settings%\<user_name>\Application Data\lsas.exe
   %Documents and Settings%\<user_name>\Application Data\logon.exe
   %Documents and Settings%\<user_name>\Application Data\helper.exe
   %Documents and Settings%\<user_name>\Application Data\event.exe
   %Documents and Settings%\<user_name>\Application Data\dumpreport.exe
   %Documents and Settings%\<user_name>\Application Data\msiexeca.exe
   

5. Usuń wszystkie pliki z %Temporary Internet Files%.
6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).