Trojan-Downloader.Win32.Bagle.cw

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Bagle.cw Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Имеет размер 163080 байт. Упакован PeNinja, распакованный размер ~273 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\drivers\hidr.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drvsyskit=%System%\drivers\hidr.exe

Извлекает из своего исполняемого файла rootkit-драйвер: 

%System%\drivers\srosa.sys

Создает службу с именем ”Megadrv3”, которая при каждой загрузке Windows запускает извлеченный драйвер.

При помощи установленного rootkit-драйвера троян скрывает свои файлы на жестком диске и записи в системном реестре а так же процесс трояна из системного списка процессов.

Сканирует параметры следующего ключа реестра: 

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

и ищет в них те, которые указывают на автоматически запускаемые файлы, которые находятся в папке %WinDir% или ее подпапках. Червь завершает процессы этих приложений и замещает их своими копиями.

Деструктивная активность

При запуске отображает диалог выбора файла с заголовком: 

Select file to crack

Если пользователь выберет какой-либо файл, троян выдаст сообщение об ошибке со следующим текстом: 

Incorrect file version

Завершает следующие процессы: 

�
a2cmd.exe�a2guard.exe�a2HiJackFree.exe�a2scan.exe�a2service.exe�a2start.exe�a2upd.exe�a2wizard.exe�aavshield.exe�About.exe�AckWin32.exe�ADVCHK.EXE�Agb5.exe�Agb5_.exe�AhnSD.exe�airdefense.exe�ALERTSVC.EXE�ALMon.exe�ALOGSERV.EXE�ALsvc.exe�ALUNOTIFY.EXE�amon.exe�Anti-Trojan.exe�AntiVirScheduler�AntiVirService�AntiVirus.exe�ANTS.EXE�APVXDWIN.EXE�Armor2net.exe�ash.exe�ashAvast.exe�ashAvSrv.exe�ashchest.exe�ashDisp.exe�ashDug.exe�ashEnhcd.exe�ashLogV.exe�ashMaiSv.exe�ashPopWz.exe�ashQuick.exe�ashServ.exe�ashsimp2.exe�ashSimpl.exe�ashSkPcc.exe�ashSkPck.exe�ashUpd.exe�ashWebSv.exe�ash_UpdateMediator.exe�aswRegSvr.exe�aswUpdSv.exe�ATCON.EXE�ATUPDATER.EXE�ATWATCH.EXE�AUPDATE.EXE�AUTODOWN.EXE�AutostartExplorer.exe�AUTOTRACE.EXE�AUTOUPDATE.EXE�avadmin.exe�avcenter.exe�avciman.exe�avcmd.exe�avconfig.exe�Avconsol.exe�AVENGINE.EXE�avgamsvr.exe�avgcc.exe�AVGCC32.EXE�AVGCTRL.EXE�avgdiag.exe�avgemc.exe�avgfwsrv.exe�avginet.exe�avgnpdln.exe�avgnpsvc.exe�AVGNT.EXE�avgntdd�avgntmgr�avgrssvc.exe�avgscan.exe�AVGSERV.EXE�AVGUARD.EXE�avgupden.exe�avgupdln.exe�avgupsvc.exe�avgvv.exe�avgw.exe�avgwizfw.exe�avinitnt.exe�AvkServ.exe�AVKService.exe�AVKWCtl.exe�avnotify.exe�AVP.EXE�AVP32.EXE�avpcc.exe�avpm.exe�AVPUPD.EXE�avscan.exe�AVSCHED32.EXE�avsynmgr.exe�AVWUPD32.EXE�AVWUPSRV.EXE�AVXMONITOR9X.EXE�AVXMONITORNT.EXE�AVXQUAR.EXE�BackWeb-4476822.exe�bdagent.exe�bdmcon.exe�bdnews.exe�bdoesrv.exe�bdss.exe�bdsubmit.exe�bdsubmitwiz.exe�BDSurvey.exe�bdswitch.exe�bdwizreg.exe�blackd.exe�blackice.exe�blindman.exe�BTIni.exe�BTIniNT.exe�cafix.exe�CavApp.exe�CaVasm.exe�CavAUD.exe�CavEmSrv.exe�Cavmr.exe�CavMUD.exe�Cavoar.exe�CavQ.exe�CAVSCons.exe�cavse.exe�CavSn.exe�CavSub.exe�CAVSubmit.exe�CavUMAS.exe�CavUserUpd.exe�Cavvl.exe�ccApp.exe�ccEvtMgr.exe�ccProxy.exe�ccSetMgr.exe�CEmRep.exe�CFIAUDIT.EXE�CHKDSK.EXE�clamscan.exe�ClamTray.exe�ClamWin.exe�Claw95.exe�Claw95cf.exe�cleaner.exe�cleaner3.exe�CliSvc.exe�CMain.exe�CMGrdian.exe�copyx64.exe�cpd.exe�cssexc.exe�custinstall.exe�custsetup.exe�defensewall.exe�DefWatch.exe�dislite.exe�DOORS.EXE�dpatrolq.exe�drvctl.exe�DrVirus.exe�DrvMap.exe�drwadins.exe�drweb32w.exe�drweb386.exe�drwebscd.exe�DRWEBUPW.EXE�drwebwcl.exe�drwreg.exe�ecmd.exe�egni.exe�ekrn.exe�EMM386.EXE�ESCANH95.EXE�ESCANHNT.EXE�ewidoctrl.exe�exit_av.exe�EzAntivirusRegistrationCheck.exe�F-AGNT95.EXE�F-PROT95.EXE�F-Sched.exe�F-StopW.EXE�FAMEH32.exe�FAST.EXE�FCH32.exe�firebird.exe�FireSvc.exe�FireTray.exe�FIREWALL.EXE�FLOPPY.EXE�FLOPPY9x.EXE�FLOPPYME.EXE�FPAVServer.exe�fpavupdm.exe�FProtTray.exe�fpscan.exe�fptrayproc.exe�FPWin.exe�freshclam.exe�FRW.EXE�fsample.exe�fsaua.exe�fsauach.exe�fsav.exe�fsav32.exe�fsavaui.exe�fsavgui.exe�fsavstrt.exe�fsavwsch.exe�fsavwscr.exe�fsbwsys.exe�fsdbuh.exe�fsdc.exe�fsdfwd.exe�FSDIAG.exe�FsDiagUi.exe�fsfwwsch.exe�fsfwwscr.exe�fsgetwab.exe�fsgk32.exe�fsgk32st.exe�fsguidll.exe�fsguiexe.exe�FSHDLL32.exe�fshelp.exe�FSHOTFIX.exe�fsihcomp.exe�fsihs.exe�FSIMAGE.EXE�FSLAUNCH.exe�FSM32.exe�FSMA32.exe�FSMB32.exe�fspc.exe�fspex.exe�fsqh.exe�fssf.exe�fssg.exe�fssm32.exe�fsstm.exe�fssw.exe�fstlui.exe�fsuninst.exe�fsus.exe�gcasDtServ.exe�gcasServ.exe�GIANTAntiSpywareMain.exe�GIANTAntiSpywareUpdater.exe�GUARD.EXE�guardgni.exe�GUARDGUI.EXE�GuardNT.exe�helper.exe�hipsdiag.exe�HRegMon.exe�Hrres.exe�HSockPE.exe�HUpdate.EXE�iamapp.exe�iamserv.exe�ICLOAD95.EXE�ICLOADNT.EXE�ICMON.EXE�ICSSUPPNT.EXE�ICSUPP95.EXE�ICSUPPNT.EXE�IERegFix.exe�IFACE.EXE�ih8.exe�ih8run.exe�ILAUNCHR.exe�INETUPD.EXE�InocIT.exe�InoRpc.exe�InoRT.exe�InoTask.exe�InoUpTNG.exe�InstallCAVS.exe�InstallLicense.exe�InstallLSP.exe�InstLsp.exe�INWISE.EXE�IOMON98.EXE�isafe.exe�ISATRAY.EXE�ISPNews.exe�isPwdsvc.exe�ISRV95.EXE�ISSVC.exe�isUAC.exe�JEDI.EXE�KAV.exe�kavmm.exe�KAVPF.exe�KavPFW.exe�KAVStart.exe�KAVSvc.exe�KAVSvcUI.EXE�KMailMon.EXE�KPfwSvc.EXE�KWatch.EXE�licmgr.exe�livesrv.exe�LiveUpdate.exe�LOCKDOWN2000.EXE�LogWatNT.exe�lpfw.exe�LUALL.EXE�LUCallbackProxy.exe�LUCheck.exe�LUCOMSERVER.EXE�LuComServer_3_2.EXE�LuConfig.exe�LUInit.exe�Luupdate.exe�MalwareRemoval.exe�MCAGENT.EXE�mcmnhdlr.exe�mcregwiz.exe�Mcshield.exe�MCUPDATE.EXE�mcvsshld.exe�MemString.exe�MINILOG.EXE�MONITOR.EXE�monlite.exe�MonSysNT.exe�MOOLIVE.EXE�MpEng.exe�mpssvc.exe�MSMPSVC.exe�mva.exe�MVC.exe�myAgtSvc.exe�myagttry.exe�navapsvc.exe�NAVAPW32.EXE�NavLu32.exe�NAVStub.exe�NAVW32.EXE�Navwnt.exe�NDD32.EXE�NeoWatchLog.exe�NeoWatchTray.exe�NetstatViewer.exe�nisoptui.exe�NISSERV�NISUM.EXE�NMAIN.EXE�nod32.exe�nod32krn.exe�nod32kui.exe�NORMIST.EXE�NotifyHA.exe�notstart.exe�npavtray.exe�NPFMNTOR.EXE�npfmsg.exe�NPROTECT.EXE�NSCHED32.EXE�NSMdtr.exe�NssServ.exe�NssTray.exe�ntoskrnl.exe�ntrtscan.exe�NTXconfig.exe�NUPGRADE.EXE�NVC95.EXE�Nvcod.exe�Nvcte.exe�Nvcut.exe�NWCDEX.EXE�NWService.exe�oasrv.exe�oaui.exe�OfcPfwSvc.exe�olAddin.exe�OnAccessInstaller.exe�osCheck.exe�OUTPOST.EXE�PartIn.exe�PartIn9x.exe�partinfo.exe�PartInNT.exe�PAV.EXE�PavFires.exe�PavFnSvr.exe�Pavkre.exe�PavProt.exe�pavProxy.exe�pavprsrv.exe�pavsrv51.exe�PAVSS.EXE�pccguide.exe�PCCIOMON.EXE�pccntmon.exe�PCCPFW.exe�PcCtlCom.exe�PCTAV.exe�PERSFW.EXE�pertsk.exe�PERVAC.EXE�PM8Flash.exe�PMagic.exe�PMagic9x.exe�PMagicBT.exe�PMagicNT.exe�PNMSRV.EXE�POLUTIL.exe�POP3TRAP.EXE�POPROXY.EXE�postinstall.exe�ppfw.exe�PQBOOT.EXE�Pqboot32.exe�PQBOOTX.EXE�pqbw.exe�PQLAUNCH.EXE�PQMAGIC.EXE�PqPe.exe�pqpe9x.exe�pqpent.exe�preconfig.exe�preupd.exe�prevsrv.exe�PrevxSetup.exe�ProcessViewer.exe�psctrls.exe�pshost.exe�PsImSvc.exe�PTEDIT.EXE�PTEDIT32.EXE�PTEPIT32.EXE�PXAgent.exe�PXConsole.exe�PXL.exe�PXL1.exe�PXReset.exe�pxsupport.exe�QHM32.EXE�QHONLINE.EXE�QHONSVC.EXE�QHPF.EXE�qhwscsvc.exe�qklez.exe�qrtfix.exe�quaranti.exe�RavMon.exe�RavTimer.exe�Realmon.exe�REALMON95.EXE�register.exe�removeit.exe�Remover.exe�Rescue.exe�rfwmain.exe�Rtvscan.exe�RTVSCN95.EXE�RuLaunch.exe�RunSetup.exe�sarcli.exe�sargui.exe�SAV32CLI.EXE�SAVAdminService.exe�SAVMain.exe�savprogress.exe�SAVScan.exe�SCAN32.EXE�scanner.exe�ScanningProcess.exe�sched.exe�sdhelp.exe�sdinvoker.exe�sdloader.exe�SDTrayApp.exe�seccenter.exe�SERVIC~1.EXE�SHSTAT.EXE�sigtool.exe�SiteCli.exe�smc.exe�SNDSrvc.exe�SNUTIL.EXE�SPBBCSvc.exe�SPHINX.EXE�spiderml.exe�spidernt.exe�Spiderui.exe�sporder.exe�SpybotSD.exe�SPYXX.EXE�SS3EDIT.EXE�start_diag.exe�stopsignav.exe�SubmitFiles.exe�svcntaux.exe�swAgent.exe�swdoctor.exe�swdsvc.exe�SWNETSUP.EXE�SymantecRootInstaller.exe�symlcsvc.exe�SymProxySvc.exe�SymSPort.exe�SymWSC.exe�SYNMGR.EXE�Sysinfo.exe�TAUMON.EXE�TBMon.exe�TC.EXE�tca.exe�TCM.EXE�TDS-3.EXE�TeaTimer.exe�TFAK.EXE�tgsvcstp.exe�THAV.EXE�THGnard.exe�THSM.EXE�Tmas.exe�tmlisten.exe�Tmntsrv.exe�TmPfw.exe�tmproxy.exe�tnbutil.exe�tracelog.exe�TRJSCAN.EXE�TrojanGuarder.exe�TrojanHunter.exe�trtddptr.exe�uiscan.exe�UninstallCAVS.exe�Uninstaller.exe�UninstallLSP.exe�unp_test.exe�Up2Date.exe�UPDATE.EXE�UpdaterUI.exe�updclient.exe�upgrepl.exe�UPSObMaker.exe�UUpd.exe�Vba32ECM.exe�Vba32ifs.exe�vba32ldr.exe�Vba32PP3.exe�VBSNTW.exe�vchk.exe�vcrmon.exe�VetTray.exe�viritexp.exe�viritsvc.exe�VirusKeeper.exe�VirusNews.exe�VistAux.exe�VisthLic.exe�VisthUpd.exe�VPTRAY.EXE�vrfwsvc.exe�VRMONNT.EXE�vrmonsvc.exe�vrrw32.exe�VSECOMR.EXE�Vshwin32.exe�vsmon.exe�vsserv.exe�VsStat.exe�w9xpopen�WATCHDOG.EXE�Wclose.exe�webfiltr.exe�WebProxy.exe�Webscanx.exe�WEBTRAP.EXE�WGFE95.EXE�wil.exe�Winaw32.exe�WindowList.exe�winroute.exe�winss.exe�winssnotify.exe�WRADMIN.EXE�WRCTRL.EXE�writespid.exe�WRPROG.EXE�wsctool.exe�xcommsvr.exe�zatutor.exe�ZAUINST.EXE�zauninst.exe�zlclient.exe�zonealarm.exe�_AVP32.EXE�_AVPCC.EXE�_AVPM.EXE

� �после чего перезаписывает их исполняемые файлы своим телом. Останавливает и отключает следующие службы: � 

wuauserv�Aavmker4�ABVPN2K�ADBLOCK.DLL�ADFirewall�AFWMCL�Ahnlab�task�Scheduler�alerter�AlertManger�AntiVir�Service�AntiyFirewall�ARP.DLL�aswMon2�aswRdr�aswTdi�aswUpdSv�Ati�HotKey�Poller�avast!�Antivirus�avast!�Mail�Scanner�avast!�Web�Scanner�AVEService�AVExch32Service�AvFlt�Avg7Alrt�Avg7Core�Avg7RsW�Avg7RsXP�Avg7UpdSvc�AvgCore�AvgCoreSvc�AVGEMS�AvgFsh�AVGFwSrv�AvgFwSvr�AvgServ�AvgTdi�AVIRAMailService�AVIRAService�AVP�avpcc�AVUPDService�AVWUpSrv�AvxIni�awhost32�backweb�client�-�4476822�BackWeb�Client�-�7681197�backweb�client-4476822�Bdfndisf�bdftdif�bdss�BlackICE�BsFileSpy�BsFirewall�BsMailProxy�CAISafe�ccEvtMgr�ccPwdSvc�ccSetMgr�ccSetMgr.exe�CONTENT.DLL�DefWatch�DNSCACHE.DLL�drwebnet�dvpapi�dvpinit�ewido�security�suite�control�ewido�security�suite�driver�ewido�security�suite�guard�F-Prot�Antivirus�Update�Monitor�F-Secure�Gatekeeper�Handler�Starter�firewall�fsbwsys�FSDFWD�FSFW�FSMA�FSAUA�F-Secure�Gatekeeper�Handler�Starter�FTPFILT.DLL�FwcAgent�fwdrv�Guard�NT�HSnSFW�HSnSPro�HTMLFILT.DLL�HTTPFILT.DLL�IMAPFILT.DLL�InoRPC�InoRT�InoTask�Ip6Fw�Ip6FwHlp�KAVMonitorService�KAVSvc�KLBLMain�KPfwSvc�KWatch3�KWatchSvc�MAILFILT.DLL�McAfee�Firewall�McAfeeFramework�McShield�McTaskManager�mcupdmgr.exe�MCVSRte�Microsoft�NetWork�FireWall�Services�MonSvcNT�MpfService�navapsvc�Ndisuio�NDIS_RD�Network�Associates�Log�Service�nipsvc�NISSERV�NISUM�NNTPFILT.DLL�NOD32ControlCenter�NOD32krn�NOD32Service�Norman�NJeeves�Norman�Type-R�Norman�ZANDA�Norton�AntiVirus�Server�NPDriver�NPFMntor�NProtectService�NSCTOP�nvcoas�NVCScheduler�nwclntc�nwclntd�nwclnte�nwclntf�nwclntg�nwclnth�NWService�OfcPfwSvc�Outbreak�Manager�Outpost�Firewall�OutpostFirewall�PASSRV�PAVAGENTE�PavAtScheduler�PAVDRV�PAVFIRES�PAVFNSVR�Pavkre�PavProc�PavProt�PavPrSrv�PavReport�PAVSRV�PCCPFW�PCC_PFW�PersFW�Personal�Firewall�POP3FILT.DLL�PREVSRV�PROTECT.DLL�PSIMSVC�qhwscsvc�wscsvc�Quick�Heal�Online�Protection�ravmon8�RfwService�SAVFMSE�SAVScan�SBService�schscnt�SECRET.DLL�SharedAccess�SmcService�SNDSrvc�SPBBCSvc�SpiderNT�SweepNet�SWEEPSRV.SYS�Symantec�AntiVirus�Client�Symantec�Core�LC�The_Hacker_Antivirus�Tmntsrv�TmPfw�tmproxy�tmtdi�tm_cfw�T_H_S_M�V3MonNT�V3MonSvc�Vba32ECM�Vba32ifs�Vba32Ldr�Vba32PP3�VBCompManService�VexiraAntivirus�VFILT�VisNetic�AntiVirus�Plug-in�vrfwsvc�vsmon�VSSERV�WinAntivirus�WinRoute�WinDefend�wuauserv�xcomm
�

Скачивает файлы по одной из ссылок: 

�
http://cortinas********s.com.ar/hld.php�http://www.courdesloges.com/hld.php�http://aytocristobal.com/hld.php�http://cuidatumiembro.com/hld.php�http://cyclegolf.com/hld.php�http://cycletech.de/hld.php�http://maneironsclimb.com/hld.php�http://www.etraining.ee/hld.php�http://dadivaria.com/hld.php�http://dancefrequency.com.br/hld.php�http://darioo.altervista.org/hld.php�http://daruliftaa.com/hld.php�http://datalifecenter.com/hld.php�http://datissa.com/hld.php�http://www.dbmetric.com/hld.php�http://WWW.DDP.COM.PE/hld.php�http://www.debmark.com/hld.php�http://decastrogil.es/hld.php�http://delattres.com/hld.php�http://demianaiello.com.ar/hld.php�http://demo.portaltapejara.com/hld.php�http://derechoydemocracia.es/hld.php�http://www.devergo.com/hld.php�http://dezaete.nl/hld.php�http://dieppeseinemaritime.com/hld.php�http://digitalpicture.com/hld.php�http://digicromo.com/hld.php�http://diocesequebec.qc.ca/hld.php�http://divinaclub.com/hld.php�http://divinojocelyn.altervista.org/hld.php�http://dj-horoz.com/hld.php�http://djsoprano.cp.win.pl/hld.php�http://djthefox.com/hld.php�http://deniselinsconvites.com.br/hld.php�http://lotva.org/hld.php�http://oliwia.iskierka.org/hld.php�http://dospablos.es/hld.php�http://dponcemi.altervista.org/hld.php�http://drutplast.com.pl/hld.php�http://dudys.bx.pl/hld.php�http://dukedem.com/hld.php�http://dddesignstudio.com/hld.php�http://easylimo.es/hld.php�http://doctorlife.org/hld.php�http://eccesso.es/hld.php�http://ecobos.be/hld.php�http://www.edenvillage.it/hld.php�http://programaseducativos-salamanca.com/hld.php�http://www.ekogips.pl/hld.php�http://www.ekotap.pl/hld.php�http://elelfogris.com/hld.php�http://elemco.pl/hld.php�http://elitan.pl/hld.php�http://passecdl.co.uk/hld.php�http://www.elotron.com/hld.php�http://elpantalan.es/hld.php�http://industriascarnicaselrobledo.com/hld.php�http://www.enco-group.cz/hld.php�http://energiesport.com/hld.php�http://epamateohernandez.com/hld.php�http://eravamo100.altervista.org/hld.php�http://esf-ct.com/hld.php�http://espaciojoven.org/hld.php�http://www.espaceprojets-villejuif.fr/hld.php�http://www.eszterlancaruhaz.hu/hld.php�http://www.etalon-stroy.ru/hld.php�http://www.experiment.lv/hld.php�http://streetlions.com/hld.php�http://www.false-news.com/hld.php�http://falshpolcom.18.com1.ru/hld.php�http://www.concretosfamasa.com/hld.php�http://fermesdemarie.eolas-services.com/hld.php�http://fernandoaureliano.com/hld.php�http://fetems.org.br/hld.php�http://wolfsdonksport.be/hld.php�http://filibertovillalobosguijuelo.com/hld.php�http://finz-center.com/hld.php�http://www.fitdina.com/hld.php�http://fiveuk.fi.funpic.org/hld.php�http://flabs.net/hld.php�http://fomentocredito.es/hld.php�http://fortis-sf.home.pl/hld.php�http://fotoastur.com/hld.php�http://fouadovedia.com/hld.php�http://foxx.fan-sites.org/hld.php�http://frauen-ratgeber.com/hld.php�http://fritschiclean.ch/hld.php�http://www.kfzeintragsservice.de/hld.php�http://www.autometasuche.de./hld.php�http://www.s-w-services.co.uk/hld.php�http://www.bodis.at/hld.php�http://www.musikverein-grosswallstadt.de/hld.php�http://tripplexwelt.de/hld.php�http://www.weingut-giegerich.de/hld.php�http://www.tenbrink-online.de/hld.php�http://www.alphazip.com/hld.php�http://www.kayaks.cz/hld.php�http://galami.sk/hld.php�http://galateainteriorismo.com/hld.php�http://galixesol.com/hld.php�http://www.gan-psifas.co.il/hld.php�http://robertsandboles.co.nz/hld.php�http://gazetaszkolna.edu.pl/hld.php�http://gdri.si/hld.php�http://generation80.be/hld.php�http://www.georg-kuenzle.ch/hld.php�http://giannifalco.com/hld.php�http://gim24.icx.pl/hld.php�http://giresuneczaciodasi.org.tr/hld.php�http://girmantasphotography.com/hld.php�http://giustiziasicura.org/hld.php�http://glodowka.com.pl/hld.php�http://202.162.97.63/hld.php�http://brzozowa.v24.pl/hld.php�http://goldpartner.pl/hld.php�http://gomashie.com/hld.php�http://go-modaru.21.com1.ru/hld.php�http://gravesite.gr.funpic.org/hld.php�http://www.gregorvandermark.com/hld.php�http://grupoexpansiona.com/hld.php�http://grupogolpe.com/hld.php�http://ospkarlino.bulls.net.pl/hld.php�http://3g-tech-industries.com/hld.php�http://guia-aumento-penis.com/hld.php�http://guia-femenina.com/hld.php�http://guia-feminina.com/hld.php�http://guia-ipc.com/hld.php�http://guida-allungamento-pene.com/hld.php�http://guide-agrandissement-penis.com/hld.php�http://guide-feminin.com/hld.php�http://jewelrytools.boo.pl/hld.php�http://gustavomendonca.com/hld.php�http://gusts.net/hld.php�http://www.hanyungprinting.co.uk/hld.php�http://hawaiicandy.com/hld.php�http://hellsquad.net/hld.php�http://www.hellsquad.net/hld.php�http://hostalhispanico2.com/hld.php�http://hostalhispanico.com/hld.php

и сохраняет в папку: 

%WinDir%\exefld

с именами состоящими из случайной последовательности цифр и расширением .exe после чего запускает на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в безопасном режиме
  2. Удалить файлы:
    3. %System%\drivers\srosa.sys
%System%\drivers\hidr.exe
  3. При помощи ("Диспетчера задач") завершить троянский процесс(возможное имя hidr.exe).
  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить параметр в ключе реестра (как работать с реестром?):
    6. [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drvsyskit=%System%\drivers\hidr.exe
  6. Удалить ключ реестра:
    7. [HKCU\Software\FirstRRRun]
  7. Удалить папку и все ее содержимое
    8. %WinDir%\exefld
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Bagle.cw»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.