Trojan-IM.Win32.VB.ai

Материал из Total Malware Info

Trojan-IM.Win32.VB.ai Троян, распространяющийся через Интернет при помощи систем обмена мгновенными сообщениями. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Упакована при помощи UPX. Распакованный размер — около 51 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "rundll32.exe":

%System%\rundll32.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll32"="C:\\WINDOWS\\System\\rundll32.exe"

Деструктивная активность

Троянец извлекает из своего тела в системный каталог Windows библиотеку "ntdll32.dll":

%System%\ntdll32.dll

Данная библиотека имеет размер 14336 байт и детектируется антивирусом Касперского как Trojan-Spy.Win32.Agent.ct. Троянец использует ряд функций из этой библиотеки для распространения своего файла через службы мгновенных сообщений в виде передаваемых файлов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи <Диспетчера задач> завершить вредоносный процесс "rundll32.exe".

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер. В данном случае троянец скорее всего окажется в одном из файлов, переданных через службу мгновенных сообщений).
2. Удалить копию троянца:

%System%\rundll32.exe

3. Удалить файл, созданный троянцем:

%System%\ntdll32.dll

4. Удалить ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll32"="C:\\WINDOWS\\System\\rundll32.exe"