Packed.Win32.PolyCrypt.d
Материал из Total Malware Info
Packed.Win32.PolyCrypt.d Программа выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 10769 байт. Упакован при помощи PolyCrypt, распакованный размер 81 к.б.
Деструктивная активность
Запускает свой исполняемый файл как служебный процесс, выполняя следующую команду:
svchost.exe <исполняемый файл трояна>
Удаляет системную службу с именем:
McShield
Изменяет значения ключа реестра на следующее:
[HKLM\Software\Eset\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings] "exc"="0x15163163" "exc"="3"
таким образом отключая монитор антивирусной программы NOD32. Завершает процесс:
nod32krn.exe
Ищет в системе окна антивируса Касперского:
AVP.AlertDialog AVP.AhLearnDialog AVP.AhAppChangedDialog AVP.Product_Notification Create rule for Создать правило для
и имитирует в них подтверждения пользователя на разрешение сетевой активности для своего исполняемого файла. Скачивает файлы по следующим ссылкам:
http://filmrat*******og.info/xxm/svchost.exe http://filmrat*******og.info/xxm/cryp.exe http://filmrat*******og.info/xxm/shekel.exe
На момент создания описания ссылки не работали. и сохраняет их соответственно как:
c:\<rnd>.TMP c:\<rnd>.TMP c:\<rnd>.TMP
где <rnd> - случайная последовательность букв и цифр. после чего запускает. после завершения своей работы троян удаляет свой исполняемый файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить скачанные трояном файлы:
c:\3af4.TMP" c:\fc4.TMP" c:\213a.TMP"
