Модификация и рекомендации по удалению Trojan-Downloader.Win32.Zlob

Milo

Самец :)
Время детектирования: 29 сен 2008 06:53 MSK
Время выпуска обновления: 29 сен 2008 10:25 MSK
Описание опубликовано: 13 окт 2009 12:19 MSK

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 5632 байта. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • завершает работу следующих процессов:

    winivstr.exe
    winstra1.exe
    winstra2.exe
    xpsecuritycenter.exe


  • удаляет файлы:

    %System%\winivstr.exe
    %System%\winstra1.exe
    %System%\winstra2.exe
    %Program Files%\XPSecurityCenter\xpsecuritycenter.exe


  • загружает из сети Интернет файл по следующей ссылке:

    http://89.248.***.***/stats.php?hui=0

    (На момент создания описания ссылка не работала)
    Загруженный файл сохраняется в системе как

    %Program Files%\XPSecurityCenter\xpsecuritycenter.exe

  • для удаления своего оригинального файла после завершения его работы создает в своем рабочем каталоге файл

    %WorkDir%\dedlf.bat

    следующего содержания:

    @echo off
    :try
    del "<полный путь к оригинальному файлу троянца>"
    if exist "<полный путь к оригинальному файлу троянца>" goto try
    del dedlf.bat


  • запускает на выполнение созданный файл. При этом сам файл "%WorkDir%\dedlf.bat" также удаляется.
После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить файл:

    %Program Files%\XPSecurityCenter\xpsecuritycenter.exe

  2. Произвести полную проверку компьютера
 

Milo

Самец :)
Модификации и рекомендации по удалению Trojan-Downloader.Win32.Zlob.bhnq

Время детектирования: 01 июл 2009 02:49 MSK
Время выпуска обновления: 22 июл 2009 18:51 MSK
Описание опубликовано: 13 окт 2009 12:25 MSK

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 6296 байт. Упакована WinUpack. Распакованный размер – около 71 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • загружает из сети Интернет файл по следующей ссылке:

    [noparse]http://www.xz***vc.net.cn/nba/image.jpg[/noparse]

    Загруженный файл сохраняется в системе под следующим именем:

    %System%\.exe

    где – случайная последовательность латинских букв (например: "lltreyk"). На момент создания описания по вышеуказанной ссылке загружался файл размером 55808 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Zybr.vl".

  • запускает загруженный файл на выполнение.
После этого троянец завершает свою работу. После завершения работы троянца его оригинальный файл удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Удалить файл:

    %System%\.exe

  2. Произвести полную проверку компьютера
 
Сверху