Trojan-Downloader.Win32.G-Spot.20

Материал из Total Malware Info

Trojan-Downloader.Win32.G-Spot.20 Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Имеет размер 36 352 байта. Написана на Delphi.

Инсталляция

Копирует свое тело в системный каталог Windows под тем же именем:

%System%\%trojan_name%

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
%gen_name%=%System%\%trojan_name%

Деструктивная активность

Скачивает файл с заданного при конфигурировании URL. Скачанный файл сохраняется под тем же именем в системный каталог Windows:

%System%\%downloaded_file%

В случае успешного скачивания запускает загруженный файл. Не зависимо от результатов работы удаляет ссылку на свой исполнимый файл из ключа автозапуска системного реестра. Затем создает в системном каталоге Windows файл “Wincfg.bat” (122 байта):

%System%\Wincfg.bat

Запускает его. Данный файл командного интерпритатора удаляет файл троянца из системного каталога Windows, а затем удаляет себя.

Рекомендации по удалению

1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файл, скачанный троянцем.