Trojan-Downloader.Win32.Bagle.m

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Bagle.m Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 9158 байт. Упакован неизвестным упаковщиком, распакованный размер 36 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\anti_troj.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
anti_troj=%System%\anti_troj.exe

Деструктивная активность

Скачивает файлы по следующим ссылкам: 

http://www.****.com/b..php�http://www.encansbelec.com/b..php�http://www.bakelit.hu/b..php�http://www.nuclear.com.pl/b..php�http://www.batlground.com/b..php�http://www.bbrealservis.sk/b..php�http://www.befag.ru/b..php�http://www.benininfo.com/b..php�http://www.bennylife.com/b..php�http://www.bestcheapdomainregistration.info/b..php�http://www.bidsforbaby.com/b..php�http://www.binhaigolf.com/b..php�http://www.biotenk.com/b..php�http://www.bitsolution.ro/b..php�http://www.nmtltd.com/b..php�http://www.vnettools.com/b..php�http://www.boldrussell.com/b..php�http://www.bronko-m.ru/b..php�http://www.bulkemailservicenow.com/b..php�http://www.bulkemaildirectmarketing.com/b..php�http://www.calidad.biz/b..php�http://www.cansew.ca/b..php�http://www.cansultdubai.ae/b..php�http://www.casaquecanta.com/b..php�http://www.chilotitomarino.cl/b..php�http://www.chinaculturedpearl.com/b..php�http://www.casino-malibu.ru/b..php�http://www.colin18.com/b..php�http://www.khonkaenpoc.com/b..php�http://www.connectesl.com/b..php�http://abtechsafety.com/b..php�http://acentrum.pl/b..php�http://www.adamant-np.ru/b..php�http://80.146.233.41/b..php�http://www.leap.co.il/b..php�http://virt33.kei.pl/b..php�http://209.126.128.203/b..php�http://65.108.195.73/b..php�http://www.ubu.pl/b..php�http://kepter.kz/b..php�http://ahava.cafe24.com/b..php�http://mijusungdo.net/b..php�http://aibsnlea.org/b..php�http://aikidan.com/b..php�http://202.44.52.38/b..php�http://drinkwater.ru/b..php�http://ala-bg.net/b..php�http://allinfo.com.au/b..php�http://eleceltek.com/b..php�http://alevibirligi.ch/b..php�http://alfaclassic.sk/b..php�http://allanconi.it/b..php�http://www.americarising.com/b..php�http://americasenergyco.com/b..php�http://amerykaameryka.com/b..php�http://amistra.com/b..php�http://analisisyconsultoria.com/b..php�http://calamarco.com/b..php

Файлы сохраняются в папку: 

%WinDir%\exefld

со случайными именами состоящими из цифр и расширением .exe после чего запускаются на выполнение. Создает ключ реестра 

[HKCU\Software\FirstRRRun]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс(anti_troj.exe).
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    4. [HKCU\Software\FirstRRRun]
  4. Удалить параметр в ключе системного реестра:
    5. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
anti_troj=%System%\anti_troj.exe
  5. Удалить папку и все ее содержимое:
    6. %WinDir%\exefld
  6. Удалить файл:
    7. %System%\anti_troj.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Bagle.m»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.