Trojan-Downloader.Win32.Agent.fhj

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Agent.fhj Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 21341 байт. Упакован при помощи Upack, распакованный размер 147 к.б.

Инсталляция

Извлекает из своего тела библиотеку размером 28715 байт:
%Program Files%\Common Files\Microsoft Shared\MSINFO\SysWFGwd2.dll

после чего оригинальный исполняемый файл трояна удаляется.

Деструктивная активность

При загрузке извлеченная библиотека внедряет себя в следующие процессы: 

Explorer.Exe
VerCLSID.exe
QQ.exe
IEXPLORE.EXE
TTraveler.exe
Thunder5.exe
QQGame.exe
rfwsrv.exe
360Safe.exe
wmplayer.exe
realplay.exe
winamp.exe
messenger.exe
MSN messenger
popo.exe
maxthon.exe
GreenBrowser.exe
PFWMain.exe
kwatch.exe
WangWang.exe
Rav.exe
runiep.exe

Скачивает список ссылок для закачки файлов из интернет по следующему URL: 

http://qq.5****.org/11/down361safe.txt

и сохраняет его как: 

%Temp%\DownStart.txt

на момент создания описания в списке были следующие ссылки: 

http://qq.5****.org/11/3721aqzs.exe - 35981 байт, не определяется как вредоносный объект.
http://qq.5****.org/11/3721safeej.exe - 145566 байт, детектируется Антивирусом Касперского как Trojan.BAT.Killproc.g.
http://74.*****.cn/yx/11.exe - 15880 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/12.exe - 16262 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/13.exe - 16220 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.htv.
http://74.*****.cn/yx/14.exe - 15639 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/15.exe - 15536 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/16.exe - 16650 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/17.exe - 14702 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.gpx.
http://74.*****.cn/yx/18.exe - 18246 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/19.exe - 15949 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/20.exe - 15334 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.hxs.
http://74.*****.cn/yx/21.exe - 15082 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.hwt.
http://74.*****.cn/yx/22.exe - 15963 байт, не определяется как вредоносный объект.
http://74.*****.cn/yx/23.exe - 15163 байт, не определяется как вредоносный объект.

Файлы скачиваются во временную папку Windows под различными именами и запускаются на выполнение трояном

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить файл:
    2. %Program Files%\Common Files\Microsoft Shared\MSINFO\SysWFGwd2.dll
  2. Удалить все содержимое папки %Temp%.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Agent.fhj»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.