Trojan.Win32.Agent.aec

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Agent.aec Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 16 896 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\soundmix.exe
%System%\dllcache\zipexr.dll

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
soundmix=%System%\soundmix.exe

Изменяет значение следующего параметра в ключе реестра: 

[HKLM\Software\Classes\exefile\shell\open\command]
@="soundmix \"%1\" %*"

после чего троян будет запускаться при каждом запуске любого приложения в системе. Изменяет значение следующего ключа реетсра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue=4

Тем самым отключает отображение скрытых файлов в системе.

Деструктивная активность

Заражает все диски компьютера за исключение следующих: 

A:\
B:\

При заражении копирует свой исполняемый файл как: 

<Корень диска>\RECYCLER\autorun.exe

Создает файл в корневой папке диска с именем autorun.inf, который при открытии диска программой “Проводник” запускает исполняемый файл трояна.

Внедряет свой код в системный процесс Explorer.exe, внедренный код периодически записывает в файл %System%\drivers\etc\hosts следующие строки: 

61.129.115.198 www.xldd.com
61.129.115.198 www.ojiang.com
61.129.115.198 www.shuixian.net
61.129.115.198 www.xlarea.com

тем самым перенаправляя запросы к некоторым сайтам на посторонний адрес. Троян прекращает свою работу если создать пустой текстовый файл с именем: 

C:\stop.txt

Содержит строку: 

Win32.Dxclive

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
soundmix=%System%\soundmix.exe
  4. Изменить значения параметров ключей реестра на следующие (как работать с реестром?):
    5. [HKLM\Software\Classes\exefile\shell\open\command]
@="\"%1\" %*"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue=0
  5. Удалить файлы:
    6. %System%\soundmix.exe
%System%\dllcache\zipexr.dll
  6. Удалить файлы со всех локальных и съемных дисков:
    7. <Корень диска>\RECYCLER\autorun.exe
<Корень диска>\autorun.inf
  7. Восстановить оригинальное содержимое файла %System%\drivers\etc\hosts, обычно он содержит следующий текст:
    8. # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Agent.aec»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.