Trojan-Dropper.Win32.VB.ny
Материал из Total Malware Info
Trojan-Dropper.Win32.VB.ny Троянская программа, созданая для скрытой установки в систему других троянских программ. Программа является приложением Windows (PE EXE-файл). Имеет размер 34 304 байта. Упакована при помощи UPX. Распакованный размер около ~ 44 КБ. Написана на Visual Basic.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "Svch0st.exe":
%System%\Svch0st.exe
Устанавливает для этого файла атрибут "скрытый" и отключает отображение скрытых файлов.
Деструктивная активность
Троянец извлекает из своего тела в системный каталог Windows файлы "jbloader.dll" (2 560, не детектируется) и "jbhook.dll" (18 198 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Small.br):
%System%\jbloader.dll %System%\jbhook.dll
Файлам присваивается статус "скрытый". Кроме того, в системный реестр добавляет строки:
[HKLM\Software\Tencent\PlatForm_Type_List\1]
[HKLM\Software\Classes\CLSID\{55667788-ABCD-1234-5678-00C04FD8DBD8}\InprocServer32]
"(default)"="%System%\jbloader.dll"
"ThreadingModel"="Apartment"
Это позволит при следующем старте системы запустить файл "jbloader.dll", который, в свою очередь, запустит файл "jbhook.dll".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы, созданные троянцем
- При помощи редактора реестра (как работать с реестром?) удалить ключи системного реестра:
%System%\jbloader.dll %System%\jbhook.dll
[HKLM\Software\Tencent\PlatForm_Type_List\1]
[HKLM\Software\Classes\CLSID\{55667788-ABCD-1234-5678-00C04FD8DBD8}\InprocServer32]
"(default)"="%System%\jbloader.dll"
"ThreadingModel"="Apartment"
