Trojan-DDoS.Win32.VB.d

Материал из Total Malware Info

Содержание 1 Trojan-DDoS.Win32.VB.d 1.1 Инсталляция 1.2 Деструктивная активность 1.3 Рекомендации по удалению

Trojan-DDoS.Win32.VB.d

Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в каталог Windows под именем "nwin32.exe":

%WinDir%\nwin32.exe

А так же в системный каталог Windows под именем "inws.exe":

%System%\ inws.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Symantec"="%WinDir%\\nwin32.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Graphics"="%System%\\inws.exe"

Деструктивная активность

Троянец создает в корневом каталоге файл "wincnf" и размещает в него различные IP-адреса. Данные адреса формируются по маске "76.158.166.*". Последний байт постоянно меняется. Адреса из этого файла используется для отправления мелких и очень частых запросов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить созданные троянцем файлы:

%WinDir%\nwin32.exe
%System%\ inws.exe

3. Удалить ключи системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Symantec"="%WinDir%\\nwin32.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Graphics"="%System%\\inws.exe"