Trojan-Downloader.Win32.QQHelper.sk

Материал из Total Malware Info

Trojan-Downloader.Win32.QQHelper.sk Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 24 576 байт. Написана на С++..

Деструктивная активность

После запуска троянец создает в реестре ключи для хранения своей информации:

[HKLM\Software\Microsoft\Direct3D\dinput\update]
"SetupId"="50077"

[HKLM\Software\Microsoft\Direct3D\dinput\update\Score]

[HKLM\Software\Microsoft\Direct3D\dinput\update\StartTime]

[HKLM\Software\Microsoft\Direct3D\dinput\update\Version]

Затем пытается скачать файл, расположенный по одному из адресов:

http://setup*****n.com/barbindsoft/barsetup.exe
http://setup*****n.com/barbindsoft/barsetup.exe
http://setup*****n.com/barbindsoft/barsetup.exe
http://setup*****n.com/barbindsoft/barsetup.exe

(356 352 байта, детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.btz) Файл скачивается во временый каталог текущего пользователя под именем "temp.exe":

%Temp%\temp.exe

В случае успешного скачивания файл запускается.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, закачанный троянцем:

%Temp%\temp.exe

3. При помощи редактора реестра (как работать с реестром?) удалить ключи системного реестра:

[HKLM\Software\Microsoft\Direct3D\dinput\update]
"SetupId"="50077"

[HKLM\Software\Microsoft\Direct3D\dinput\update\Score]

[HKLM\Software\Microsoft\Direct3D\dinput\update\StartTime]

[HKLM\Software\Microsoft\Direct3D\dinput\update\Version]