Not-a-virus AdWare.Win32.Virtumonde.jp

Материал из Total Malware Info

Перейти к: навигация, поиск

not-a-virus:AdWare.Win32.Virtumonde.jp Программа показа рекламы. Является приложением Windows (PE-EXE файл). Имеет размер 35341 байт. Упакован PE-Compact, распакованный размер ~49 к.б.

Инсталляция

Извлекает из своего тела библиотеку размером 29206 байт: 

%System%\<rnd>.dll

где <rnd> - случайная последовательность прописных латинских букв. После этого программа удаляет свой оригинальный исполняемый файл. Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSServer=rundll32.exe <имя файла трояна>,Start

[HKCR\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object\{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}]

[HKCR\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object]
{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}

Создает ключ реестра: 

[HKCR\CLSID\{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}]

Деструктивная активность

Завершает следующий процесс: 

GCASSERVALERT.EXE

Скачивает файлы со следующего адреса: 

http://65.2*****3.80/

и сохраняет их в свою рабочую папку. Если файл имеет расширение “.exe” он запускается на выполнение. Если файл имеет расширение “.dll” то загружается трояном.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить параметры в ключах реестра (как работать с реестром?):
    2. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSServer=rundll32.exe <имя файла трояна>,Start

[HKCR\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object]
{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}
  2. Удалить ключи реестра:
    3. [HKCR\CLSID\{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}]

[HKCR\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object\{27784E9B-66F4-47EE-A7BF-F80994BF4CDB}]
  3. Удалить файл:
    4. %System%\<rnd>.dll

где <rnd> - случайная последовательность прописных латинских букв.

Источник — «http://www.totalmalwareinfo.com/rus/Not-a-virus_AdWare.Win32.Virtumonde.jp»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.