Trojan-Dropper.Win32.Fesber

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Dropper.Win32.Fesber

Троянская программа, относящаяся к семейству троянов, устанавливающих вредоносное программное обеспечение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 35 328 байт. Язык написания Delphi.

Деструктивная активность

Копирует свое тело в системный каталог Windows под именем "notpad.exe": 

%System%\notpad.exe

Изменяет ключ системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe notpad.exe"

Такое изменение приведет к тому, что при запуске приложения "explorer.exe" будет запущен и троянец. Кроме того, извлекает из своего тела файл "Setup.tmp" (10 240 байт, детектируется Антивирусом Касперского как Worm.Win32.Fesber) в каталог Windows: 

%WinDir%\Setup.tmp

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец не удалит его сам.
  2. Удалить извлеченные троянцем файлы:
    3. %System%\notpad.exe
%WinDir%\Setup.tmp
  3. Изменить ключ системного реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe notpad.exe"
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Dropper.Win32.Fesber»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.