Trojan-Downloader.Win32.Firu.g

Материал из Total Malware Info

Содержание 1 Trojan-Downloader.Win32.Firu.g 1.1 Инсталляция 1.2 Деструктивная активность 1.3 Рекомендации по удалению

Trojan-Downloader.Win32.Firu.g

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 22080 байт. Упакована при помощи UPX. Распакованный размер — около 46 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под случайным именем:

%System%\<rnd>.exe

Деструктивная активность

После запуска троянец сканирует ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Затем добавляет код, обеспечивающий автоматический запуск троянца при следующем старте системы во все файлы, ссылки на которые находятся в данном ключе. Затем троянец отправляет запрос:

http://194.1*****3.157/ping/8ce896946632d74bfaa534e20c4bf6c3fffcc625880c9b785c5605f0a9ea0100/21

Обращение к данному URL производится через функцию "InternetReadFile". Таким образом злоумышленник может передавать на зараженную машину вредоносный код. На момент создания описания по ссылке передавался пустой файл. Свою вредоносную активность троянец производит внедрив вредоносный код в процесс "svchost.exe". Кроме того, троянец создает ряд отложенных заданий для операционной системы, размещая в каталоге "%WinDir%\Tasks" ряд файлов с именами "At<rnd2>.job" (где <rnd2> - числа от 1 до 24). Выполняясь эти задания будут запускать копию троянца. Троянец удаляет свой оригинальный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец не удалит его сам.
2. Удалить копию троянца:

%System%\<rnd>.exe

Для выявления данного файла отсортируйте содержимое каталога по времени создания — файл, имя которого будет состоять из странного набора букв и цифр будет вредоносным.

1. Удалить файлы:

%WinDir%\Tasks\At<rnd2>.job