Trojan.Win32.KillWin.df

Материал из Total Malware Info

Перейти к: навигация, поиск

Содержание

Trojan.Win32.KillWin.df

Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 28549 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "WUpdates.exe": 

%System%\WUpdates.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Load"="%System%\WUpdates.exe"

Деструктивная активность

После запуска троянец дописывает следующие строки в файл "hosts": 

0.0.0.0 google.com
0.0.0.0 www.hotmail.com
0.0.0.0 www.microsoft.com
0.0.0.0 microsoft.com
0.0.0.0  macafee.com
0.0.0.0 www.macafee.com
0.0.0.0 download.mcafee.com
0.0.0.0 www.download.mcafee.com
0.0.0.0 rads.mcafee.com
0.0.0.0 us.mcafee.com
0.0.0.0 www.networkassociates.com
0.0.0.0 networkassociates.com
0.0.0.0 update.symantec.com
0.0.0.0 updates.symantec.com
0.0.0.0 iveupdate.symantec.com
0.0.0.0 norton.com
0.0.0.0 www.symantec.com
0.0.0.0 symantec.com
0.0.0.0 www.norton.com
0.0.0.0 google.com
0.0.0.0 bitdefender.com
0.0.0.0 www.viruslist.com
0.0.0.0 viruslist.com
0.0.0.0 www.virustotal.com
0.0.0.0 virustotal.com
0.0.0.0 www.kaspersky.com
0.0.0.0 kaspersky.com
0.0.0.0 kaspersky-labs.com
0.0.0.0 www.kaspersky-labs.com
0.0.0.0 www.trendmicro.com
0.0.0.0 trendmicro.com
0.0.0.0 www.pandasoftware.com
0.0.0.0 pandasoftware.com
0.0.0.0 www.nod32.com
0.0.0.0 nod32.com
0.0.0.0 yahoo.com
0.0.0.0 mail.yahoo.com
0.0.0.0 www.grisoft.com
0.0.0.0 www.f-secure.com
0.0.0.0  f-secure.com

Данный файл расположен в каталоге драйверов Windows: 

%System%\drivers\etc

Затем удаляет исполняемые и библиотечные файлы из следующих каталогов: 

%WinDir%
%System%
%System%\Restore
%System%\DRIVERS
%Program Files%\McAfee.com\Personal Firewall
%Program Files%\McAfee.com\VSO
%Program Files%\McAfee.com\Personal Firewall\data\
%Program Files%\Norton AntiVirus\
%Program Files%\Common Files\Symantec Shared\
%Program Files%\Zone Labs\ZoneAlarm\
%Program Files%\Zone Labs\ZoneAlarm\repair\
%Program Files%\Kaspersky Lab\AVP6\

После чего перезапускает систему.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Восстановить системные файлы при помощи установочного диска.
  2. Удалить ключ системного реестра:
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Load"="%System%\WUpdates.exe"
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить копию троянца:
    5. %System%\WUpdates.exe
  5. Переустановить программы, которые могли быть испорчены.
  6. Восстановить файл:
    7. %System%\drivers\etc\hosts
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.KillWin.df»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.