Trojan-Downloader.Win32.Small.bah

Материал из Total Malware Info

Trojan-Downloader.Win32.Small.bah Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 27823 байт. Упакован неизвестным упаковщиком, распакованный размер 85 к.б.

Инсталляция

Копирует свой исполняемый файл как:

%System%\NTdhcp.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp”=”%System%\NTdhcp.exe”

После инсталляции троян удаляет свой оригинальный исполняемый файл.

Деструктивная активность

Отключает антивирусную защиту компьютера: Отключает службы со следующими именами:

RsRavMon
RsCCenter
Kavsvc
KVSrvXP
Wscsvc
KPfwSvc
KwatchSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
Navapsvc
NPFMntor
MskService
FireSvc
McShield
McTaskManager
McAfeeFramework

Из ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

удаляет параметры со следующими именами:

KAVPersonal50
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
KavPFW
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
ShStatEXE
VSOCheckTask
KavStart
Services
KWatch9x
Csoftok
explor.exe
windos

Завершает процессы:

FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KmailMon.EXE
KAVStart.exe�KATMain.EXE
TrojanDetector.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE�MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
KWatch9x.exe
SOFTOK.EXE
explor.exe
windox.exe

Троян похишает пароли на учетные записи к программе QQMessenger. Для этого он сканирует систему в поисках окон этой программы и ищет среди них диалоги авторизации, если находит, извлекает текст введенный в полях ввода и сохраняет его в файл отчета

%WinDir%\Media\chord.waz

Отчет периодически отправляется на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить параметр в ключе системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp”=”%System%\NTdhcp.exe”

3. Удалить файлы:

%System%\NTdhcp.exe
%WinDir%\Media\chord.waz