Trojan-Downloader.Win32.Agent.djuz
06.05.2010
Технічні деталі
Троянська програма, яка без відома користувача встановлює в систему інше шкідливе ПЗ. Є додатком Windows (PE-EXE файл). Має розмір 10240 байт. Написана на С + +.
Деструктивна активність
Після запуску троянець перевіряє ім'я свого виконуваного модуля. Якщо ім'я виконуваного файлу троянця не «ctfmon.exe" - припиняє свою роботу. Якщо ж ім'я співпало - створює в системному реєстрі ключ:
[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ctfmon.exe]
"Debugger" = "<путь_у_оригинальному_файлу_троянца>"
тим самим блокуючи запуск оригінального програми "ctfmon.exe". Крім того, при їх запуску в якості відладчика стартуватиме виконуваний файл троянця. Далі троянець отримує параметри, з якими він був запущений. Якщо в якості параметра передається рядок містить символи "http:" - шкідливий запускає ще одну копію свого процесу і передає йому як параметр вказаний веб-адресу. Потім шкідливий запускає на виконання браузер MS Internet Explorer - "iexplore.exe".
Рекомендації з видалення
Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:
- За допомогою Диспетчера завдань завершити оригінальний процес троянця.
- Видалити оригінальний файл троянця (його розташування на зараженому комп'ютері залежить від способу, яким програма потрапила на комп'ютер).
- Видалити ключ системного реєстру: [HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ ctfmon.exe]
- Провести повну перевірку комп'ютера антивірусом з оновленими антивірусними базами