Trojan.Win32.Agent.dcc

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Agent.dcc Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\drivers\runtime.sys

Для автоматического запуска при следующем старте системы троян создает системную службу с именем “Runtime”, которая запускает исполняемый файл трояна при каждой последующей загрузке Windows. При этом создается следующий ключ реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\runtime]

После успешной инсталляции троян удаляет свой оригинальный файл.

Деструктивная активность

Программа содержит руткит драйвер, который скрывает наличие файлов трояна на жестком диске а так же следующих файлов: 

%System%\ntoskrnl.exe
%System%\ntkrnlpa.exe
%System%\ntkrnlmp.exe
%System%\ntkrpamp.exe

и их процессов в системе. Так же троян запускает скрытый процесс iexplore.exe, в который внедряет свой код, который скачивает файлы со следующих адресов: 

208.66.194.242
66.246.252.215
208.66.195.71
74.53.42.34
74.53.42.61

и сохраняет их под именами вида: 

%Temp%\<rnd>.exe, где rnd – случайная последовательность цифр.

после успешной закачки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить ключ системного реестра:
    3. [HKLM\SYSTEM\CurrentControlSet\Services\runtime]
  3. Удалить файл:
    4. %System%\drivers\runtime.sys
  4. Удалить содержимое папки %Temp%
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Agent.dcc»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.