Trojan-Downloader.Win32.Banload.cfr

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Banload.cfr Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 77824 байта. Ничем не упакована. Написана на Visual Basic.

Деструктивная активность

После активации троянец открывает в браузере следующий URL: 

http://www.tim.com.br

Далее троянец производит загрузку файлов со следующих URL: 

http://isass******il.ru/Isass.jpg

Данный файл имеет размер 522288 байт и детектируется Антивирусом Касперского, как Trojan-Spy.Win32.Banker.aww. 

http://timpr*******il.ru/tim.jpg

Данный файл имеет размер 898048 байт и детектируется Антивирусом Касперского, как Trojan-Spy.Win32.Banker.awa. Загруженные файлы троянец сохраняет в корневой каталог Windows в папку "%Help%" под следующими именами соответственно: 

%WinDir%\Help\Issas.scr
%WinDir%\Help\svhost.scr"

Далее для автоматического запуска при следующем старте системы троянец добавляет ссылки на загруженные файлы в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskList" = "%WinDir%\Help\svhost.scr"
"TaskList1" = "%WinDir%\Help\Issas.scr"

Затем троянец перемещает свой исполняем файл в следующий каталог, и завершает свою работу: 

%WinDir%\Help\<оригинальное_имя_троянца>.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить параметры в ключе реестра (как работать с реестром?):
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskList" = "%WinDir%\Help\svhost.scr"
"TaskList1" = "%WinDir%\Help\Issas.scr"
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер):
    4. %WinDir%\Help\<оригинальное_имя_троянца>.exe
  4. Удалить файлы:
    5. %WinDir%\Help\Issas.scr
%WinDir%\Help\svhost.scr"
  5. Очистить каталог (<a href=http://www.k******ky.ru/faq?chapter=186784895&qid=153219411">Как удалить инфицированные файлы в папке Temporary Internet Files?</a>):
    6. %Temporary Internet Files%
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Banload.cfr»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.