Trojan.Win32.KillFiles.lo

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.KillFiles.lo

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 11 264 байта. Упакована при помощи ASPack. Распакованный размер – около 12 КБ. Написана на Visual Basic.

Деструктивная активность

При запуске троянец выполняет следующие действия: завершает следующие процессы: 

explorer.exe
qq.exe
MPMAIN.EXE
MPSVC1.EXE
MPSVC2.EXE

отменяет регистрацию библиотек: 

netshell.dll
netcfgx.dll
netman.dll
wmpdxm.dll
vbscript.dll
Shdocvw.dll
Oleaut32.dll
Actxprxy.dll
Mshtml.dll
Urlmon.dll
browseui.dll
wmpdxm.dll
shell32.dll

изменяет значение ключа системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"

Это приводит к запрету запуска «Редактора реестра» пользователем. удаляет ключи системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKLM\Software\System\CurrentControlSet\Services]

завершает процесс taskmgr.exe удаляет файлы со следующими расширениями из корневых каталогов дисков C:, D:, E:, F: и G: 

.gho
.doc
.txt

удаляет все файлы с расширением ".exe" из каталога: 

C:\Windows\System32

Вышеописанный действия приводят сбою системы.

Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.KillFiles.lo»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.