Backdoor.Win32.Vipdataend.ij
Материал из Total Malware Info
Backdoor.Win32.Vipdataend.ij Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 435712 байт. Упакован при помощи PE_Patch, распакованный размер ~435 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%System%\PiaO.exe
Извлекает из своего тела библиотеку:
%System%\PiaO.dll
Данный файл имеет размер 135168 байта и детектируется Антивирусом Касперского как Backdoor.Win32.Delf.ash Для автоматического запуска при каждом следующем старте системы бэкдор создает службу с именем “PiaO” при этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\PiaO]
После инсталляции бэкдор удаляет свой оригинальный файл.
Деструктивная активность
Бэкдор запускает копию процесса iexplore.exe и подгружает в него извлеченную библиотеку, которая скачивает с сайта злоумышленника скрипт, определяющий дальнейшие действия вредоносной программы, которые могут быть одними из следующих: Закачка файла по указанному URL с последующим запуском Передача на сайт злоумышленников информации о системе пользователя(версии Windows и IE) Слежка за посещаемыми пользователем сайтами в интернет и отправлять отчета на сайт злоумышленников.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
- Удалить файлы:
[HKLM\SYSTEM\CurrentControlSet\Services\PiaO]
%System%\PiaO.exe %System%\PiaO.dll
