Trojan.Win32.KillFiles.cd

Материал из Total Malware Info

Перейти к: навигация, поиск

Содержание

Trojan.Win32.KillFiles.cd

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 36 864 байта. Написана на C++.

Инсталляция

Троянец копирует свой исполняемый файл под именем: 

%System%\Manager.exe

Для созданного файла троянец устанавливает атрибут "скрытый"("hidden"). Для автоматического запуска при следующем старте системы троянец добавляет ссылки на свою копию в ключи автозапуска системного реестра: 

[HKLMSoftware\Microsoft\Windows\CurrentVersion\Run]
"RegCheck"="%System%\Manager.exe"
"Netwatch"="%System%\Manager.exe"

[HKLMSoftware\Microsoft\Windows\CurrentVersion\RunOnce]
"Async Desktop"="%System%\Manager.exe"

[HKLMSoftware\Microsoft\Windows\CurrentVersion\RunServices]
"Manager"="%System%\Manager.exe"

[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll16"="%System%\Manager.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll32"="%System%\Manager.exe"

Деструктивная активность

При запуске троянец блокирует пользовательский ввод. После этого троянец создает два потока. В первом потоке троянец закрашивает экран в черный цвет и выводит на него строку: 

www.smart-hack.com

Во втором потоке троянец удаляет все файлы с диска "C:". Это приводит к краху системы, если она установлена на диске "C:".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия (в случае, если операционная система на вашем компьютере установлена не на диске "C:"):

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить файл:
    3. %System%\Manager.exe
  3. Удалить ключи системного реестра (как работать с реестром?):
    4. [HKLMSoftware\Microsoft\Windows\CurrentVersion\Run]
"RegCheck"="%System%\Manager.exe"
"Netwatch"="%System%\Manager.exe"

[HKLMSoftware\Microsoft\Windows\CurrentVersion\RunOnce]
"Async Desktop"="%System%\Manager.exe"

[HKLMSoftware\Microsoft\Windows\CurrentVersion\RunServices]
"Manager"="%System%\Manager.exe"

[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll16"="%System%\Manager.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll32"="%System%\Manager.exe"
  4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.KillFiles.cd»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.