Trojan-Downloader.Win32.QQHelper.afr

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.QQHelper.afr Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их. Является приложением Windows (PE-EXE файл). Имеет размер 159905 байт.

Инсталляция

Извлекает из своего тела следующие файлы: 

%System%\inf\MsnSvc32.exe (65640 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.QQHelper.afr)
%System%\inf\d03.exe (129536 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Agent.eav)
%WinDir%\inf\usbctrl01.inf (74240 байта, детектируется Антивирусом Касперского как (129536 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.QQHelper.agb)

и запускает их на выполнение. Внедряет в следующие процессы: 

ctfmon.exe
KPFW32.exe
360tray.exe

код, который поддерживает существование файла на жестком диске: 

%WinDir%\inf\usbctrl01.inf

и в непрерывном цикле изменяет значение следующего параметра ключа реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
Debugger=%WinDir%\inf\MsnSvc32.exe

Создает следующий ключ реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\C:\WINDOWS\inf\MsnSvc32.exe]

Троян имитирует положительные ответы на предупреждения следующих программ антивирусной защиты: 

Kaspersky Internet Security
McAfee Personal Firewall Plus

Создает службу с именем “DNS Service” которая запускает исполняемый файл трояна

Деструктивная активность

Отправляет информацию о системе и установленном ПО в HTTP запросах на следующие адреса: 

sm.bizmd.cn
xzhu.hukan.com

Скачивает список ссылок на файлы для загрузки из интернет по следующему адресу: 

http://soft******.com/new/up.txt

после чего скачивает все файлы из списка и сохраняет их в папку %WinDir%\inf. После успешной закачки файлы загружаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
Debugger=%WinDir%\inf\MsnSvc32.exe
  4. Удалить ключ системного реестра:
    5. [HKLM\SYSTEM\CurrentControlSet\Services\C:\WINDOWS\inf\MsnSvc32.exe]
  5. Удалить файлы:
    6. %System%\inf\MsnSvc32.exe
%System%\inf\d03.exe
%WinDir%\inf\usbctrl01.inf
  6. Удалить системную службу с именем “DNS Service”.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.QQHelper.afr»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.