Trojan-Dropper.Win32.Small.um

Материал из Total Malware Info

Trojan-Dropper.Win32.Small.um

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 8741 байт. Упакована FSG. Распакованный размер – около 33 КБ. Написана на C++.

Деструктивная активность

При запуске троянец создает в системе уникальный идентификатор с именем:

abdd9bed-808a-4887-a668-16935c25ce1e

После этого троянец извлекает из своего тела файл и сохраняет его в системном каталоге Windows под именем:

%System%\msmsgs.exe

Данный файл имеет размер 5121 байт и определяется Антивирусом Касперского как Trojan-Downloader.Win32.Zlob.g После этого созданный файл запускается. Троянец создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSN Messenger"="%System%\msmsgs.exe"

Это приведет к автоматическому запуску извлеченного файла при каждом следующем запуске системы. Также троянец генерирует уникальный глобальный идентификатор и создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"uuid"="<Сгенерированный идентификатор>"

После этого троянец удаляет свой исполняемый файл и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Удалить ключи системного реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSN Messenger"="%System%\msmsgs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"uuid"="<Сгенерированный идентификатор>"

Удалить извлеченный троянцем файл:

%System%\msmsgs.exe