Trojan-Downloader.Win32.Bagle.cu

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Bagle.cu Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 200 до 320 кб. Упакован при помощи PE-Ninja.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\drivers\hidr.exe

Извлекает из своего исполняемого файла rootkit-драйвер: 

%System%\drivers\srosa.sys

Создает службу с именем ”Megadrv3”, которая при каждой загрузке Windows запускает извлеченный драйвер.

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drvsyskit=%System%\drivers\hidr.exe

Деструктивная активность

При помощи установленного rootkit-драйвера троян скрывает свои файлы на жестком диске и записи в системном реестре а так же процесс трояна из системного списка процессов. Завершает следующие процессы: � 

a2cmd.exe�a2guard.exe�a2HiJackFree.exe�a2scan.exe�a2service.exe�a2start.exe�a2upd.exe�a2wizard.exe�aavshield.exe�About.exe�AckWin32.exe�ADVCHK.EXE�Agb5.exe�Agb5_.exe�AhnSD.exe�airdefense.exe�ALERTSVC.EXE�ALMon.exe�ALOGSERV.EXE�ALsvc.exe�ALUNOTIFY.EXE�amon.exe�Anti-Trojan.exe�AntiVirScheduler�AntiVirService�AntiVirus.exe�ANTS.EXE�APVXDWIN.EXE�Armor2net.exe�ash.exe�ashAvast.exe�ashAvSrv.exe�ashchest.exe�ashDisp.exe�ashDug.exe�ashEnhcd.exe�ashLogV.exe�ashMaiSv.exe�ashPopWz.exe�ashQuick.exe�ashServ.exe�ashsimp2.exe�ashSimpl.exe�ashSkPcc.exe�ashSkPck.exe�ashUpd.exe�ashWebSv.exe�ash_UpdateMediator.exe�aswRegSvr.exe�aswUpdSv.exe�ATCON.EXE�ATUPDATER.EXE�ATWATCH.EXE�AUPDATE.EXE�AUTODOWN.EXE�AutostartExplorer.exe�AUTOTRACE.EXE�AUTOUPDATE.EXE�avadmin.exe�avcenter.exe�avciman.exe�avcmd.exe�avconfig.exe�Avconsol.exe�AVENGINE.EXE�avgamsvr.exe�avgcc.exe�AVGCC32.EXE�AVGCTRL.EXE�avgdiag.exe�avgemc.exe�avgfwsrv.exe�avginet.exe�avgnpdln.exe�avgnpsvc.exe�AVGNT.EXE�avgntdd�avgntmgr�avgrssvc.exe�avgscan.exe�AVGSERV.EXE�AVGUARD.EXE�avgupden.exe�avgupsvc.exe�avgvv.exe�avgw.exe�avgwizfw.exe�avinitnt.exe�AvkServ.exe�AVKService.exe�AVKWCtl.exe�avnotify.exe�AVP.EXE�AVP32.EXE�avpcc.exe�avpm.exe�AVPUPD.EXE�avscan.exe�AVSCHED32.EXE�avsynmgr.exe�AVWUPD32.EXE�AVWUPSRV.EXE�AVXMONITOR9X.EXE�AVXMONITORNT.EXE�AVXQUAR.EXE�BackWeb-4476822.exe�bdagent.exe�bdmcon.exe�bdnews.exe�bdoesrv.exe�bdss.exe�bdsubmit.exe�bdsubmitwiz.exe�BDSurvey.exe�bdswitch.exe�bdwizreg.exe�blackd.exe�blackice.exe�blindman.exe�BTIni.exe�BTIniNT.exe�cafix.exe�CavApp.exe�CaVasm.exe�CavAUD.exe�CavEmSrv.exe�Cavmr.exe�CavMUD.exe�Cavoar.exe�CavQ.exe�CAVSCons.exe�cavse.exe�CavSn.exe�CavSub.exe�CAVSubmit.exe�CavUMAS.exe�CavUserUpd.exe�Cavvl.exe�ccApp.exe�ccEvtMgr.exe�ccProxy.exe�ccSetMgr.exe�CEmRep.exe�CFIAUDIT.EXE�CHKDSK.EXE�clamscan.exe�ClamTray.exe�ClamWin.exe�Claw95.exe�Claw95cf.exe�cleaner.exe�cleaner3.exe�CliSvc.exe�CMain.exe�CMGrdian.exe�copyx64.exe�cpd.exe�cssexc.exe�custinstall.exe�custsetup.exe�defensewall.exe�DefWatch.exe�dislite.exe�DOORS.EXE�dpatrolq.exe�drvctl.exe�DrVirus.exe�DrvMap.exe�drwadins.exe�drweb32w.exe�drweb386.exe�drwebscd.exe�DRWEBUPW.EXE�drwebwcl.exe�drwreg.exe�ecmd.exe�egni.exe�ekrn.exe�EMM386.EXE�ESCANH95.EXE�ESCANHNT.EXE�ewidoctrl.exe�exit_av.exe�EzAntivirusRegistrationCheck.exe�F-AGNT95.EXE�F-PROT95.EXE�F-Sched.exe�F-StopW.EXE�FAMEH32.exe�FAST.EXE�FCH32.exe�firebird.exe�FireSvc.exe�FireTray.exe�FIREWALL.EXE�FLOPPY.EXE�FLOPPY9x.EXE�FLOPPYME.EXE�FPAVServer.exe�fpavupdm.exe�FProtTray.exe�fpscan.exe�fptrayproc.exe�FPWin.exe�freshclam.exe�FRW.EXE�fsample.exe�fsaua.exe�fsauach.exe�fsav.exe�fsav32.exe�fsavaui.exe�fsavgui.exe�fsavstrt.exe�fsavwsch.exe�fsavwscr.exe�fsbwsys.exe�fsdbuh.exe�fsdc.exe�fsdfwd.exe�FSDIAG.exe�FsDiagUi.exe�fsfwwsch.exe�fsfwwscr.exe�fsgetwab.exe�fsgk32.exe�fsgk32st.exe�fsguidll.exe�fsguiexe.exe�FSHDLL32.exe�fshelp.exe�FSHOTFIX.exe�fsihcomp.exe�fsihs.exe�FSIMAGE.EXE�FSLAUNCH.exe�FSM32.exe�FSMA32.exe�FSMB32.exe�fspc.exe�fspex.exe�fsqh.exe�fssf.exe�fssg.exe�fssm32.exe�fsstm.exe�fssw.exe�fstlui.exe�fsuninst.exe�fsus.exe�gcasDtServ.exe�gcasServ.exe�GIANTAntiSpywareMain.exe�GIANTAntiSpywareUpdater.exe�GUARD.EXE�guardgni.exe�GUARDGUI.EXE�GuardNT.exe�helper.exe�hipsdiag.exe�HRegMon.exe�Hrres.exe�HSockPE.exe�HUpdate.EXE�iamapp.exe�iamserv.exe�ICLOAD95.EXE�ICLOADNT.EXE�ICMON.EXE�ICSSUPPNT.EXE�ICSUPP95.EXE�ICSUPPNT.EXE�IERegFix.exe�IFACE.EXE�ih8.exe�ih8run.exe�ILAUNCHR.exe�INETUPD.EXE�InocIT.exe�InoRpc.exe�InoRT.exe�InoTask.exe�InoUpTNG.exe�InstallCAVS.exe�InstallLicense.exe�InstallLSP.exe�InstLsp.exe�INWISE.EXE�IOMON98.EXE�isafe.exe�ISATRAY.EXE�ISPNews.exe�isPwdsvc.exe�ISRV95.EXE�ISSVC.exe�isUAC.exe�JEDI.EXE�KAV.exe�kavmm.exe�KAVPF.exe�KavPFW.exe�KAVStart.exe�KAVSvc.exe�KAVSvcUI.EXE�KMailMon.EXE�KPfwSvc.EXE�KWatch.EXE�licmgr.exe�livesrv.exe�LiveUpdate.exe�LOCKDOWN2000.EXE�LogWatNT.exe�lpfw.exe�LUALL.EXE�LUCallbackProxy.exe�LUCheck.exe�LUCOMSERVER.EXE�LuComServer_3_2.EXE�LuConfig.exe�LUInit.exe�Luupdate.exe�MalwareRemoval.exe�MCAGENT.EXE�mcmnhdlr.exe�mcregwiz.exe�Mcshield.exe�MCUPDATE.EXE�mcvsshld.exe�MemString.exe�MINILOG.EXE�MONITOR.EXE�monlite.exe�MonSysNT.exe�MOOLIVE.EXE�MpEng.exe�mpssvc.exe�MSMPSVC.exe�mva.exe�MVC.exe�myAgtSvc.exe�myagttry.exe�navapsvc.exe�NAVAPW32.EXE�NavLu32.exe�NAVStub.exe�NAVW32.EXE�Navwnt.exe�NDD32.EXE�NeoWatchLog.exe�NeoWatchTray.exe�NetstatViewer.exe�nisoptui.exe�NISSERV�NISUM.EXE�NMAIN.EXE�nod32.exe�nod32krn.exe�nod32kui.exe�NORMIST.EXE�NotifyHA.exe�notstart.exe�npavtray.exe�NPFMNTOR.EXE�npfmsg.exe�NPROTECT.EXE�NSCHED32.EXE�NSMdtr.exe�NssServ.exe�NssTray.exe�ntoskrnl.exe�ntrtscan.exe�NTXconfig.exe�NUPGRADE.EXE�NVC95.EXE�Nvcod.exe�Nvcte.exe�Nvcut.exe�NWCDEX.EXE�NWService.exe�oasrv.exe�oaui.exe�OfcPfwSvc.exe�olAddin.exe�OnAccessInstaller.exe�osCheck.exe�OUTPOST.EXE�PartIn.exe�PartIn9x.exe�partinfo.exe�PartInNT.exe�PAV.EXE�PavFires.exe�PavFnSvr.exe�Pavkre.exe�PavProt.exe�pavProxy.exe�pavprsrv.exe�pavsrv51.exe�PAVSS.EXE�pccguide.exe�PCCIOMON.EXE�pccntmon.exe�PCCPFW.exe�PcCtlCom.exe�PCTAV.exe�PERSFW.EXE�pertsk.exe�PERVAC.EXE�PM8Flash.exe�PMagic.exe�PMagic9x.exe�PMagicBT.exe�PMagicNT.exe�PNMSRV.EXE�POLUTIL.exe�POP3TRAP.EXE�POPROXY.EXE�postinstall.exe�ppfw.exe�PQBOOT.EXE�Pqboot32.exe�PQBOOTX.EXE�pqbw.exe�PQLAUNCH.EXE�PQMAGIC.EXE�PqPe.exe�pqpe9x.exe�pqpent.exe�preconfig.exe�preupd.exe�prevsrv.exe�PrevxSetup.exe�ProcessViewer.exe�psctrls.exe�pshost.exe�PsImSvc.exe�PTEDIT.EXE�PTEDIT32.EXE�PTEPIT32.EXE�PXAgent.exe�PXConsole.exe�PXL.exe�PXL1.exe�PXReset.exe�pxsupport.exe�QHM32.EXE�QHONLINE.EXE�QHONSVC.EXE�QHPF.EXE�qhwscsvc.exe�qklez.exe�qrtfix.exe�quaranti.exe�RavMon.exe�RavTimer.exe�Realmon.exe�REALMON95.EXE�register.exe�removeit.exe�Remover.exe�Rescue.exe�rfwmain.exe�Rtvscan.exe�RTVSCN95.EXE�RuLaunch.exe�RunSetup.exe�sarcli.exe�sargui.exe�SAV32CLI.EXE�SAVAdminService.exe�SAVMain.exe�savprogress.exe�SAVScan.exe�SCAN32.EXE�scanner.exe�ScanningProcess.exe�sched.exe�sdhelp.exe�sdinvoker.exe�sdloader.exe�SDTrayApp.exe�seccenter.exe�SERVIC~1.EXE�SHSTAT.EXE�sigtool.exe�SiteCli.exe�smc.exe�SNDSrvc.exe�SNUTIL.EXE�SPBBCSvc.exe�SPHINX.EXE�spiderml.exe�spidernt.exe�Spiderui.exe�sporder.exe�SpybotSD.exe�SPYXX.EXE�SS3EDIT.EXE�start_diag.exe�stopsignav.exe�SubmitFiles.exe�svcntaux.exe�swAgent.exe�swdoctor.exe�swdsvc.exe�SWNETSUP.EXE�SymantecRootInstaller.exe�symlcsvc.exe�SymProxySvc.exe�SymSPort.exe�SymWSC.exe�SYNMGR.EXE�Sysinfo.exe�TAUMON.EXE�TBMon.exe�TC.EXE�tca.exe�TCM.EXE�TDS-3.EXE�TeaTimer.exe�TFAK.EXE�tgsvcstp.exe�THAV.EXE�THGnard.exe�THSM.EXE�Tmas.exe�tmlisten.exe�Tmntsrv.exe�TmPfw.exe�tmproxy.exe�tnbutil.exe�tracelog.exe�TRJSCAN.EXE�TrojanGuarder.exe�TrojanHunter.exe�trtddptr.exe�uiscan.exe�UninstallCAVS.exe�Uninstaller.exe�UninstallLSP.exe�unp_test.exe�Up2Date.exe�UPDATE.EXE�UpdaterUI.exe�updclient.exe�upgrepl.exe�UPSObMaker.exe�UUpd.exe�Vba32ECM.exe�Vba32ifs.exe�vba32ldr.exe�Vba32PP3.exe�VBSNTW.exe�vchk.exe�vcrmon.exe�VetTray.exe�viritexp.exe�viritsvc.exe�VirusKeeper.exe�VirusNews.exe�VistAux.exe�VisthLic.exe�VisthUpd.exe�VPTRAY.EXE�vrfwsvc.exe�VRMONNT.EXE�vrmonsvc.exe�vrrw32.exe�VSECOMR.EXE�Vshwin32.exe�vsmon.exe�vsserv.exe�VsStat.exe�w9xpopen�WATCHDOG.EXE�Wclose.exe�webfiltr.exe�WebProxy.exe�Webscanx.exe�WEBTRAP.EXE�WGFE95.EXE�wil.exe�Winaw32.exe�WindowList.exe�winroute.exe�winss.exe�winssnotify.exe�WRADMIN.EXE�WRCTRL.EXE�writespid.exe�WRPROG.EXE�wsctool.exe�xcommsvr.exe�zatutor.exe�ZAUINST.EXE�zauninst.exe�zlclient.exe�zonealarm.exe�_AVP32.EXE�_AVPCC.EXE�_AVPM.EXE
�

Останавливает и удаляет следующие службы антивирусных программ: 

wuauserv�Aavmker4�ABVPN2K�ADBLOCK.DLL�ADFirewall�AFWMCL�Ahnlab�task�Scheduler�alerter�AlertManger�AntiVir�Service�AntiyFirewall�ARP.DLL�aswMon2�aswRdr�aswTdi�aswUpdSv�Ati�HotKey�Poller�avast!�Antivirus�avast!�Mail�Scanner�avast!�Web�Scanner�AVEService�AVExch32Service�AvFlt�Avg7Alrt�Avg7Core�Avg7RsW�Avg7RsXP�Avg7UpdSvc�AvgCore�AvgFsh�AVGFwSrv�AvgFwSvr�AvgServ�AvgTdi�AVIRAMailService�AVIRAService�avpcc�AVUPDService�AVWUpSrv�AvxIni�awhost32�backweb�client�-�4476822�BackWeb�Client�-�7681197�backweb�client-4476822�Bdfndisf�bdftdif�bdss�BlackICE�BsFileSpy�BsFirewall�BsMailProxy�CAISafe�ccEvtMgr�ccPwdSvc�ccSetMgr�ccSetMgr.exe�CONTENT.DLL�DefWatch�DNSCACHE.DLL�drwebnet�dvpapi�dvpinit�ewido�security�suite�control�ewido�security�suite�driver�ewido�security�suite�guard�F-Prot�Antivirus�Update�Monitor�F-Secure�Gatekeeper�Handler�Starter�firewall�fsbwsys�FSDFWD�FSFW�FSMA�FSAUA�F-Secure�Gatekeeper�Handler�Starter�FTPFILT.DLL�FwcAgent�fwdrv�Guard�NT�HSnSFW�HSnSPro�HTMLFILT.DLL�HTTPFILT.DLL�IMAPFILT.DLL�InoRPC�InoRT�InoTask�Ip6Fw�Ip6FwHlp�KAVMonitorService�KAVSvc�KLBLMain�KPfwSvc�KWatch3�KWatchSvc�MAILFILT.DLL�McAfee�Firewall�McAfeeFramework�McShield�McTaskManager�mcupdmgr.exe�MCVSRte�Microsoft�NetWork�FireWall�Services�MonSvcNT�MpfService�navapsvc�Ndisuio�NDIS_RD�Network�Associates�Log�Service�nipsvc�NISSERV�NISUM�NNTPFILT.DLL�NOD32ControlCenter�NOD32krn�NOD32Service�Norman�NJeeves�Norman�Type-R�Norman�ZANDA�Norton�AntiVirus�Server�NPDriver�NPFMntor�NProtectService�NSCTOP�nvcoas�NVCScheduler�nwclntc�nwclntd�nwclnte�nwclntf�nwclntg�nwclnth�NWService�OfcPfwSvc�Outbreak�Manager�Outpost�Firewall�OutpostFirewall�PASSRV�PAVAGENTE�PavAtScheduler�PAVDRV�PAVFIRES�PAVFNSVR�Pavkre�PavProc�PavProt�PavPrSrv�PavReport�PAVSRV�PCCPFW�PCC_PFW�PersFW�Personal�Firewall�POP3FILT.DLL�PREVSRV�PROTECT.DLL�PSIMSVC�qhwscsvc�wscsvc�Quick�Heal�Online�Protection�ravmon8�RfwService�SAVFMSE�SAVScan�SBService�schscnt�SECRET.DLL�SharedAccess�SmcService�SNDSrvc�SPBBCSvc�SpiderNT�SweepNet�SWEEPSRV.SYS�Symantec�AntiVirus�Client�Symantec�Core�LC�The_Hacker_Antivirus�Tmntsrv�TmPfw�tmproxy�tmtdi�tm_cfw�T_H_S_M�V3MonNT�V3MonSvc�Vba32ECM�Vba32ifs�Vba32Ldr�Vba32PP3�VBCompManService�VexiraAntivirus�VFILT�VisNetic�AntiVirus�Plug-in�vrfwsvc�vsmon�VSSERV�WinAntivirus�WinRoute�WinDefend�wuauserv�xcomm

Скачивает файл по одной из ссылок: 

�
http://cortinas********s.com.ar/hld.php�http://www.courdesloges.com/hld.php�http://aytocristobal.com/hld.php�http://cuidatumiembro.com/hld.php�http://cyclegolf.com/hld.php�http://cycletech.de/hld.php�http://maneironsclimb.com/hld.php�http://www.etraining.ee/hld.php�http://dadivaria.com/hld.php�http://dancefrequency.com.br/hld.php�http://darioo.altervista.org/hld.php�http://daruliftaa.com/hld.php�http://datalifecenter.com/hld.php�http://datissa.com/hld.php�http://www.dbmetric.com/hld.php�http://WWW.DDP.COM.PE/hld.php�http://www.debmark.com/hld.php�http://decastrogil.es/hld.php�http://delattres.com/hld.php�http://demianaiello.com.ar/hld.php�http://demo.portaltapejara.com/hld.php�http://derechoydemocracia.es/hld.php�http://www.devergo.com/hld.php�http://dezaete.nl/hld.php�http://dieppeseinemaritime.com/hld.php�http://digitalpicture.com/hld.php�http://digicromo.com/hld.php�http://diocesequebec.qc.ca/hld.php�http://divinaclub.com/hld.php�http://divinojocelyn.altervista.org/hld.php�http://dj-horoz.com/hld.php�http://djsoprano.cp.win.pl/hld.php�http://djthefox.com/hld.php�http://deniselinsconvites.com.br/hld.php�http://lotva.org/hld.php�http://oliwia.iskierka.org/hld.php�http://dospablos.es/hld.php�http://dponcemi.altervista.org/hld.php�http://drutplast.com.pl/hld.php�http://dudys.bx.pl/hld.php�http://dukedem.com/hld.php�http://dddesignstudio.com/hld.php�http://easylimo.es/hld.php�http://doctorlife.org/hld.php�http://eccesso.es/hld.php�http://ecobos.be/hld.php�http://www.edenvillage.it/hld.php�http://programaseducativos-salamanca.com/hld.php�http://www.ekogips.pl/hld.php�http://www.ekotap.pl/hld.php�http://elelfogris.com/hld.php�http://elemco.pl/hld.php�http://elitan.pl/hld.php�http://passecdl.co.uk/hld.php�http://www.elotron.com/hld.php�http://elpantalan.es/hld.php�http://industriascarnicaselrobledo.com/hld.php�http://www.enco-group.cz/hld.php�http://energiesport.com/hld.php�http://epamateohernandez.com/hld.php�http://eravamo100.altervista.org/hld.php�http://esf-ct.com/hld.php�http://espaciojoven.org/hld.php�http://www.espaceprojets-villejuif.fr/hld.php�http://www.eszterlancaruhaz.hu/hld.php�http://www.etalon-stroy.ru/hld.php�http://www.experiment.lv/hld.php�http://streetlions.com/hld.php�http://www.false-news.com/hld.php�http://falshpolcom.18.com1.ru/hld.php�http://www.concretosfamasa.com/hld.php�http://fermesdemarie.eolas-services.com/hld.php�http://fernandoaureliano.com/hld.php�http://fetems.org.br/hld.php�http://wolfsdonksport.be/hld.php�http://filibertovillalobosguijuelo.com/hld.php�http://finz-center.com/hld.php�http://www.fitdina.com/hld.php�http://fiveuk.fi.funpic.org/hld.php�http://flabs.net/hld.php�http://fomentocredito.es/hld.php�http://fortis-sf.home.pl/hld.php�http://fotoastur.com/hld.php�http://fouadovedia.com/hld.php�http://foxx.fan-sites.org/hld.php�http://frauen-ratgeber.com/hld.php�http://fritschiclean.ch/hld.php�http://www.kfzeintragsservice.de/hld.php�http://www.autometasuche.de./hld.php�http://www.s-w-services.co.uk/hld.php�http://www.bodis.at/hld.php�http://www.musikverein-grosswallstadt.de/hld.php�http://tripplexwelt.de/hld.php�http://www.weingut-giegerich.de/hld.php�http://www.tenbrink-online.de/hld.php�http://www.alphazip.com/hld.php�http://www.kayaks.cz/hld.php�http://galami.sk/hld.php�http://galateainteriorismo.com/hld.php�http://galixesol.com/hld.php�http://www.gan-psifas.co.il/hld.php�http://robertsandboles.co.nz/hld.php�http://gazetaszkolna.edu.pl/hld.php�http://gdri.si/hld.php�http://generation80.be/hld.php�http://www.georg-kuenzle.ch/hld.php�http://giannifalco.com/hld.php�http://gim24.icx.pl/hld.php�http://giresuneczaciodasi.org.tr/hld.php�http://girmantasphotography.com/hld.php�http://giustiziasicura.org/hld.php�http://glodowka.com.pl/hld.php�http://202.162.97.63/hld.php�http://brzozowa.v24.pl/hld.php�http://goldpartner.pl/hld.php�http://gomashie.com/hld.php�http://go-modaru.21.com1.ru/hld.php�http://gravesite.gr.funpic.org/hld.php�http://www.gregorvandermark.com/hld.php�http://grupoexpansiona.com/hld.php�http://grupogolpe.com/hld.php�http://ospkarlino.bulls.net.pl/hld.php�http://3g-tech-industries.com/hld.php�http://guia-aumento-penis.com/hld.php�http://guia-femenina.com/hld.php�http://guia-feminina.com/hld.php�http://guia-ipc.com/hld.php�http://guida-allungamento-pene.com/hld.php�http://guide-agrandissement-penis.com/hld.php�http://guide-feminin.com/hld.php�http://jewelrytools.boo.pl/hld.php�http://gustavomendonca.com/hld.php�http://gusts.net/hld.php�http://www.hanyungprinting.co.uk/hld.php�http://hawaiicandy.com/hld.php�http://hellsquad.net/hld.php�http://www.hellsquad.net/hld.php�http://hostalhispanico2.com/hld.php�http://hostalhispanico.com/hld.php

� Скачанные файлы сохраняются в папку: 

%WinDir%\exefqd

со случайными именами состоящими из цифр и расширением .exe после чего запускает на выполнение. Создает ключ реестра, в котором хранит свои настройки: 

[HKCU\Software\FirstRRRun]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в безопасном режиме
  2. Удалить файлы:
    3. %System%\drivers\srosa.sys
%System%\drivers\hidr.exe
  3. При помощи ("Диспетчера задач") завершить троянский процесс(возможное имя hidr.exe).
  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить параметр в ключе реестра (как работать с реестром?):
    6. [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drvsyskit=%System%\drivers\hidr.exe
  6. Удалить ключ реестра:
    7. [HKCU\Software\FirstRRRun]
  7. Удалить папку и все ее содержимое
    8. %WinDir%\exefqd
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Bagle.cu»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.