Trojan-Downloader.Win32.Agent.yh
Материал из Total Malware Info
Trojan-Downloader.Win32.Agent.yh Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 7 344 байт. Упакована при помощи FSG, распакованный размер ~16 к.б.
Деструктивная активность
При запуске троян читает список скачиваемых файлов из интернет, который расположен в конце исполняемого файла трояна. После этого троян получает путь к исполняемому файлу веб-браузера по-умолчанию из ключа реестра:
[HKLM\SOFTWARE\Classes\HTTP\shell\open\command]
запускает браузер и внедряет в его процесс код, который производит закачку файлов по заложенным в трояне ссылкам. Скачанные файлы в зависимости от выбранных настроек могут сохраняться в одну из следующих папок: %WinDir%, %Temp%, %System%. Троян так же внедряет код в процесс explorer.exe, который запускает скачанные файлы на выполнение, если они имеют расширения .exe, .pif или .scr. Данная модификация скачивает файл по следующей ссылке:
http://carab*******ee.fr/calc.exe
и сохраняет его как:
%Temp%\calc.exe
после чего запускает.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Temp%\calc.exe
