Trojan-Downloader.Win32.Bagle.e

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Bagle.e Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 9849 байт. Упакован неизвестным упаковщиком, распакованный размер 37 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\anti_troj.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
anti_troj=%System%\anti_troj.exe

Деструктивная активность

Скачивает файлы по следующим ссылкам: 

http://25k****org/z.php�http://charlies-truckerpage.de/z.php�http://template.nease.net/z.php�http://s89.tku.edu.tw/z.php�http://phrmg.org/z.php�http://www.etwas-mode.de/z.php�http://757555.ru/z.php�http://www.8ingatlan.hu/z.php�http://oklens.co.jp/z.php�http://www.a2zhostings.com/z.php�http://www.abavitis.hu/z.php�http://abtechsafety.com/z.php�http://acentrum.pl/z.php�http://www.adamant-np.ru/z.php�http://furdoszoba.info/z.php�http://adavenue.net/z.php�http://ccooaytomadrid.org/z.php�http://abtechsafety.com/z.php�http://80.146.233.41/z.php�http://www.barth.serwery.pl/z.php�http://www.leap.co.il/z.php�http://virt33.kei.pl/z.php�http://www.bmswijndepot.com/z.php�http://209.126.128.203/z.php�http://www.timecontrol.com.pl/z.php�http://adoptionscanada.ca/z.php�http://65.108.195.73/z.php�http://tkdami.net/z.php�http://www.ubu.pl/z.php�http://adventecgroup.com/z.php�http://sacafterdark.net/z.php�http://agenciaspublicidadinternet.com/z.php�http://www.agroturystyka.artneo.pl/z.php�http://kepter.kz/z.php�http://ahava.cafe24.com/z.php�http://mijusungdo.net/z.php�http://aibsnlea.org/z.php�http://aikidan.com/z.php�http://202.44.52.38/z.php�http://drinkwater.ru/z.php�http://ala-bg.net/z.php�http://allinfo.com.au/z.php�http://eleceltek.com/z.php�http://alevibirligi.ch/z.php�http://alfaclassic.sk/z.php�http://allanconi.it/z.php�http://www.americarising.com/z.php�http://americasenergyco.com/z.php�http://amerykaameryka.com/z.php�http://amistra.com/z.php�http://analisisyconsultoria.com/z.php�http://calamarco.com/z.php

Файлы сохраняются в папку: 

%WinDir%\exefld

со случайными именами состоящими из цифр и расширением .exe после чего запускаются на выполнение. Создает ключ реестра 

[HKCU\Software\FirstRRRun]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс(anti_troj.exe).
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    4. [HKCU\Software\FirstRRRun]
  4. Удалить параметр в ключе системного реестра:
    5. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
anti_troj=%System%\anti_troj.exe
  5. Удалить папку и все ее содержимое:
    6. %WinDir%\exefld
  6. Удалить файлы:
    7. %System%\anti_troj.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Bagle.e»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.