Trojan-Downloader.Win32.Baser.aw

Материал из Total Malware Info

Trojan-Downloader.Win32.Baser.aw Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Имеет размер 21332 байта. Упакован неизвестным упаковщиком, распакованный размер 86 к.б.

Инсталляция

При запуске внедряет свой код в процесс svchost.exe. Копирует свой исполняемый файл как:

%System%\Kengen.exe
c:\Kengen.exe

Создает службу с именем “WMI svchost” и описанием “Performance Logs and Ale”, которая запускает исполняемый файл трояна:

%System%\Kengen.exe

при каждой следующей загрузке ОС. После инсталляции троян удаляет свой оригинальный файл.

Деструктивная активность

Запускает процесс с именем IEXPLORE.EXE и внедряет в него код, который скачивает файлы по следующим ссылкам:

http://world0*******ft.net/0.exe (21504 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Agent.sy)
http://world0*******ft.net/1.exe (21504 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Agent.sy)
http://world0*******ft.net/2.exe (148480 байт, не детектируется как вредоносный объект) http://world0fwarcraft.net/3.exe (181588 байт, не детектируется как вредоносный объект)

файлы сохраняются в папку %System% и после успешной загрузки запускаются на выполнение. Копирует свой исполняемый файл в корневую папку всех дисков компьютера с именем kengen.exe. Так же создает в корневых папках дисков файл autorun.inf, который запускает исполняемый файл трояна каждый раз когда пользователь открывает диск Проводником.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить службу с именем “WMI svchost”
3. Удалить файлы:

%System%\Kengen.exe
c:\Kengen.exe

4. Удалить все копии трояна на жестком диске.