Trojan.Win32.Small.mi

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Small.mi Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 6 764 байта. Язык написания C++.

Деструктивная активность

После запуска троянская программа получает список запущенных процессов. Ищет среди них процесс "McShield", если находит, то останавливает его и удаляет. В случае наличия в системе антивирусной программы "NOD32" исправляет ее настройки в системном реестре следующим образом: 

[HKLM\Software\Eset\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"exc"=hex:32,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,\
  00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,\
  31,00,5c,00,00,00,00,00,00,00,01,00,32,00,00,00,5c,00,44,00,65,00,76,00,69,\
  00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,\
  6f,00,6c,00,75,00,6d,00,65,00,32,00,5c,00,00,00,00,00,00,00,01,00,32,00,00,\
  00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,\
  64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,33,00,5c,00,00,\
  00,00,00,00,00,01,00,ff,ff,ff,ff
"exc_num"="3"

Затем ищет процесс "msiexec.exe". Если такой процесс есть, то ищет строку деинсталляции в системном реестре в разделе: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall]

После этого запускает приложение "msiexec.exe" с необходимыми для деинсталляции параметрами командной строки. Запускает процесс "svchost.exe" со следующим параметром командной строки: 

svchost.exe C:\virus\sysonda.exe

Это действие запустит вредоносную программу как сервис. После такого запуска троянец скопирует вредоносный код в память процесса "svchost.exe" и удалит свой оригинальный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если троянец не удалит его сам.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Small.mi»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.