Модификация и рекомендации по удалению Trojan-Downloader.Win32.Zlob

[Milo]

Время детектирования: 29 сен 2008 06:53 MSK
Время выпуска обновления: 29 сен 2008 10:25 MSK
Описание опубликовано: 13 окт 2009 12:19 MSK

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 5632 байта. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• завершает работу следующих процессов:
  
  winivstr.exe
  winstra1.exe
  winstra2.exe
  xpsecuritycenter.exe
  
  
• удаляет файлы:
  
  %System%\winivstr.exe
  %System%\winstra1.exe
  %System%\winstra2.exe
  %Program Files%\XPSecurityCenter\xpsecuritycenter.exe
  
  
• загружает из сети Интернет файл по следующей ссылке:
  
  http://89.248.***.***/stats.php?hui=0
  
  (На момент создания описания ссылка не работала)
  Загруженный файл сохраняется в системе как
  
  %Program Files%\XPSecurityCenter\xpsecuritycenter.exe
  
  
• для удаления своего оригинального файла после завершения его работы создает в своем рабочем каталоге файл
  
  %WorkDir%\dedlf.bat
  
  следующего содержания:
  
  @echo off
  :try
  del "<полный путь к оригинальному файлу троянца>"
  if exist "<полный путь к оригинальному файлу троянца>" goto try
  del dedlf.bat
  
  
• запускает на выполнение созданный файл. При этом сам файл "%WorkDir%\dedlf.bat" также удаляется.

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:
   
   %Program Files%\XPSecurityCenter\xpsecuritycenter.exe
   
   
2. Произвести полную проверку компьютера

 

[Milo]

Модификации и рекомендации по удалению Trojan-Downloader.Win32.Zlob.bhnq

Время детектирования: 01 июл 2009 02:49 MSK
Время выпуска обновления: 22 июл 2009 18:51 MSK
Описание опубликовано: 13 окт 2009 12:25 MSK

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 6296 байт. Упакована WinUpack. Распакованный размер – около 71 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• загружает из сети Интернет файл по следующей ссылке:
  
  [noparse]http://www.xz***vc.net.cn/nba/image.jpg[/noparse]
  
  Загруженный файл сохраняется в системе под следующим именем:
  
  %System%\.exe
  
  где – случайная последовательность латинских букв (например: "lltreyk"). На момент создания описания по вышеуказанной ссылке загружался файл размером 55808 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Zybr.vl".
  
  
• запускает загруженный файл на выполнение.

После этого троянец завершает свою работу. После завершения работы троянца его оригинальный файл удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:
   
   %System%\.exe
   
   
2. Произвести полную проверку компьютера