Trojan-Downloader.Win32.Mutant.by

Материал из Total Malware Info

Trojan-Downloader.Win32.Mutant.by — троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 11 776 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"advap32" = "<полный путь к оригинальному файлу троянца>/r"

Это приводит к автоматическому запуску оригинального файла троянца при каждом следующем старте системы.

• Устанавливает соединение со следующими хостами:

208.66.194.227
208.66.194.240
208.66.195.15
208.66.195.71
66.232.113.80
67.228.160.10-static.reverse.softlayer.com
75.126.215.18-static.reverse.softlayer.com
217.170.77.146
208.66.194.232

• Установленное соединение используется для загрузки на компьютер пользователя других вредоносных программ. Загруженные файлы сохраняются во временном каталоге пользователя "%Temp%" под случайными именами. В зависимости от характера загруженного файла он либо запускается на выполнение, либо же его исполняемый код внедряется в адресное пространство процесса "svchost.exe".
• Для удаления своего оригинального файла запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c del <полный путь к оригинальному файлу троянца> >> NUL

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"advap32" = "<полный путь к оригинальному файлу троянца>/r"

2. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
3. Очистить временный каталог пользователя "%Temp%".