Trojan.Win32.Dialer.eh

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Dialer.eh Троянская программа, которая производит вызовы на платные номера без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 9 950 байт.

Инсталляция

Извлекает из своего тела файл: 

%System%\saristar.dll

и регистрирует его в системе. Данный компонент устанавливает себя как Browser Helper Object.

Деструктивная активность

Скачивает файл по следующей ссылке: 

http://217*****6.1/bck.html?v=1&id=<случайное число>

и сохраняет его с именем sarb.exe в своей рабочей папке после чего запускает. На момент написания описания ссылка не работала. Скачивает файл по следующей ссылке: 

http://217*****6.1/del/cmb

и сохраняет его как: 

c:\dtemp2.exe

после чего запукает. На момент написания описания ссылка не работала. Открывает ссылку в браузере Internet Explorer: 

http://217.****6.16/md.php?data=<случайное число>

Так же троянец содержит скрытую функцию дозвона на иностранные номера, который производится без ведома пользователя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Отменить регистрацию библиотеки выполнив команду:
    4. regsvr32 /u %System%\saristar.dll
  4. Удалить файлы:
    5. %System%\saristar.dll
%System%\sarb.exe
c:\dtemp2.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Dialer.eh»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.