Trojan-Dropper.Win32.Small.mi

Материал из Total Malware Info

Trojan-Dropper.Win32.Small.mi

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 5744 байт. Упакована FSG. Распакованный размер – около 71 КБ. Написана на C++.

Деструктивная активность

При запуске троянец проверяет наличие в системе уникального идентификатора с именем:

!FUCK OFF!

Если данный идентификатор отсутствует троянец его создает и продолжает свою работу. В противном случае троянец завершает свою работу. Далее троянец извлекает из своего тела библиотеку и сохраняет её под именем:

%System%\eplrr9.dll

Данный файл имеет размер 5584 байт и определяется Антивирусом Касперского как Trojan.Win32.StartPage.ox Троянец генерирует уникальный глобальный идентификатор после чего создает следующие ключи системного реестра:

[HKCR\CLSID\<уникальный глобальный идентификатор>\InprocServer32]
"(Default)"="%System%\eplrr9.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eplrr9"="<уникальный глобальный идентификатор>"

Это приведет к загрузке библиотеки при каждом следующем старте системы. После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы:

%System%\eplrr9.dll

Удалить ключ системного реестра (как работать с реестром?):

[HKCR\CLSID\<уникальный глобальный идентификатор>\InprocServer32]
"(Default)"="%System%\eplrr9.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eplrr9"="<уникальный глобальный идентификатор>"