Packed.Win32.Tibs.ap

Материал из Total Malware Info

Packed.Win32.Tibs.ap Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Выполнена в виде драйвера ядра NT (kernel mode driver). Имеет размер 7712 байт.

Деструктивная активность

Ищет в системе следующие модули и выгружает их:

vsdatant.sys
watchdog.sys
zclient.exe
bcfilter.sys
bcftdi.sys
bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
filtnt.sys
sandbox.sys
mpfirewall.sys
msssrv.exe
mcshield.exe
fsbl.exe
avz.exe
avp.exe
avpm.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
iao.exe
issvc.exe
rtvscan.exe
savscan.exe
bdss.exe
bdmcon.exe
livesrv.exe
cclaw.exe
fsav32.exe
fsm32.exe
gcasserv.exe
icmon.exe
inetupd.exe
nod32krn.exe
nod32ra.exe
pavfnsvr.exe
Windows-KB890830-V1.32.exe

Перехватывает вызов следующих API функций:

ZwQueryDirectoryFile
ZwEnumerateValueKey

путем замены обработчика в KeServiceDescriptorTable При помощи установленных обработчиков троян скрывает свой исполняемый файл на жестком диске компьютера и параметры ключей в системном реестре, ссылающиеся на исполняемый файл трояна.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).