Trojan.Win32.Tiny.i

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Tiny.i Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 7214 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\<rnd>.exe

где <rnd> - случайная последовательность цифр. Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ttool=%WinDir%\<rnd>.exe

Деструктивная активность

При запуске внедряет свой код в один из запущенных системных процессов svchost.exe, внедренный код пытается скачать файлы по следующим ссылкам: 

http://81.9*****.130/sutra/in.cgi?6&
http://81.2*****.170/our_eu2.exe

скачанные файлы сохраняются под следующими именами: 

C:\<rnd>.tmp

где <rnd> - случайная последовательность цифр. На момент создания описания ссылки не работали. Создает ключ реестра, в котором хранит свои настройки: 

[HKCU\Software\Microsoft\InetData]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ttool=%WinDir%\<rnd>.exe
  4. Удалить ключ системного реестра:
    5. [HKCU\Software\Microsoft\InetData]
  5. Удалить файлы:
    6. C:\<rnd>.tmp
%WinDir%\<rnd>.exe

где <rnd> - случайная последовательность цифр.

Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Tiny.i»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.