Trojan-Notifier.Win32.VB.o
Материал из Total Malware Info
Trojan-DDoS.Win32.VB.k Троянская программа, сообщающая злоумышленнику о выходе зараженного компьютера в Интернет. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на Visual Basic.
Инсталляция
После запуска троянец копирует свое тело в корневой и системный каталоги Windows под именем "YmServer.exe":
%System%\YmServer.exe %WinDir%\YmServer.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Ymagic"="YmServer.exe"
Устанавливает для файлов атрибуты: скрытый, системный, только для чтения.
Деструктивная активность
После запуска троянец извлекает из своего тела в корневой и системный каталоги Windows библиотеку с именем "Ymagic.dll":
%System%\Ymagic.dll %WinDir%\Ymagic.dll
Данная библиотека имеет размер 11828 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.Prostor.a. Устанавливает для файлов атрибуты: скрытый, системный, только для чтения. При помощи функций этой библиотеки троянец отправляет злоумышленнику сообщение о выходе зараженной системы в Интернет через службу мгновенных сообщений "Yahoo!".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи <Диспетчера задач> завершить троянский процесс "YmServer.exe".
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
- Удалить файлы, созданные троянцем:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "YMagic"="YmServer.exe"
%System%\YmServer.exe %WinDir%\YmServer.exe %System%\Ymagic.dll %WinDir%\Ymagic.dll
