Packed.Win32.Tibs.dc
Материал из Total Malware Info
Packed.Win32.Tibs.dc Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 42496 байт. Упакован неизвестным упаковщиком, распакованный размер 139 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%System%\ntos.exe
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Userinit=%System%\userinit.exe,%System%\ntos.exe,
Деструктивная активность
Внедряет свой код во все запущенные в системе процессы, который выполняет следующие действия: Скачивает список ссылок для закачки файлов из интернет по следующей ссылке:
http://prodig*******l.info/cfg.bin
на момент создания описания ссылка не работала. после этого троян скачивает файлы из списка и сохраняет их в папку:
%System%\wsnpoem
после чего запускает на выполнение. Запускает HTTP прокси сервер на компьютере пользователя на 43633 TCP порте. Так же троян создает поток, который непрерывно восстанавливает оригинальный файл трояна на жестком диске и запись автозагрузки в системном реестре.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Данный троян невозможно удалить стандартными средствами.
