Trojan-Downloader.Win32.Agent.djuz

06.05.2010

Технічні деталі

Троянська програма, яка без відома користувача встановлює в систему інше шкідливе ПЗ. Є додатком Windows (PE-EXE файл). Має розмір 10240 байт. Написана на С + +.

Деструктивна активність

Після запуску троянець перевіряє ім'я свого виконуваного модуля. Якщо ім'я виконуваного файлу троянця не «ctfmon.exe" - припиняє свою роботу. Якщо ж ім'я співпало - створює в системному реєстрі ключ:

[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ctfmon.exe]
"Debugger" = "<путь_у_оригинальному_файлу_троянца>"
тим самим блокуючи запуск оригінального програми "ctfmon.exe". Крім того, при їх запуску в якості відладчика стартуватиме виконуваний файл троянця. Далі троянець отримує параметри, з якими він був запущений. Якщо в якості параметра передається рядок містить символи "http:" - шкідливий запускає ще одну копію свого процесу і передає йому як параметр вказаний веб-адресу. Потім шкідливий запускає на виконання браузер MS Internet Explorer - "iexplore.exe".

Рекомендації з видалення

Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:

1. За допомогою Диспетчера завдань завершити оригінальний процес троянця.
2. Видалити оригінальний файл троянця (його розташування на зараженому комп'ютері залежить від способу, яким програма потрапила на комп'ютер).
3. Видалити ключ системного реєстру: [HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ctfmon.exe]
4. Провести повну перевірку комп'ютера антивірусом з оновленими антивірусними базами