Trojan.Win32.AutoAccepter

Материал из Total Malware Info

Trojan.Win32.AutoAccepter Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 28 672 байта. Язык написания Visual Basic.

Инсталляция

Копирует свое тело в каталог Windows под именем "editreg.exe":

%WinDir%\editreg.exe

Для автоматического запуска при следующем старате системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"registry"="%WinDir%\\editreg.exe"

Деструктивная активность

После запуска троянская программа запускает службу "Microsoft Messenger", с помощью которой передает злоумышленнику сообщение о том, что зараженный компьютер получил доступ в интернет. После чего автоматически получет от злоумышленника файл и запускает его. Для скрытия своей активности троянская программ добавляет в системный реестр строки:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"%Program Files%\\Messenger\\msmsgs.exe\" /background"

Это позволит запустить "Microsoft Messenger" без иконки в панели задач, что скроет сетевую активность от жертвы.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить ключ системного реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"registry"="%WinDir%\\editreg.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"%Program Files%\\Messenger\\msmsgs.exe\" /background"

3. Удалить созданный троянцем файл:

%WinDir%\editreg.exe