Другие модификации: .bl, .bn, .cb, .cq, .dg, .ia
| Детектирование добавлено | 30 мар 2009 20:24 MSK |
| Обновление выпущено | 31 мар 2009 00:43 MSK |
| Описание опубликовано | 21 апр 2009 |
Троянская программа, которая без ведома пользователя скачивает на компьютер
другое программное обеспечение. Программа является приложением Windows (PE EXE-файл).
Имеет размер 450522 байта. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем
"avgsec.exe":
%System%\avgsec.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет
ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"
Троянец подменяет файлы "hosts" и "lmhosts". Это приводит к неправильному
переводу доменных имен в IP-адреса. Данные, которые будут внесены в эти файлы
троянец получает с адреса:
http://211.99.150.***/icons/folder.sw.gif
На момент создания описания данные выглядели следующим образом:
127.0.0.1 localhost
83.240.39.133 www.bradesco.com.br
83.240.39.133 bradesco.com.br
83.240.39.133 bradesco.com
83.240.39.133 www.bradesco.com.br
83.240.39.133 www.santander.com.br
83.240.39.133 santander.com.br
83.240.39.133 www.banespa.com.br
83.240.39.133 banespa.com.br
83.240.39.133 www.caixa.gov.br
83.240.39.133 www.caixa.com.br
83.240.39.133 internetcaixa.caixa.gov.br
83.240.39.133 internetbanking.caixa.gov.br
83.240.39.133 internetcaixa.caixa.com.br
83.240.39.133 internetbaking.caixa.com.br
83.240.39.133 caixa.com.br
83.240.39.133 caixa.gov.br
83.240.39.133 cef.gov.br
83.240.39.133 cef.com.br
83.240.39.133 www.cef.gov.br
83.240.39.133 www.cef.com.br
83.240.39.133 www.itau.com.br
83.240.39.133 www.itau.com
83.240.39.133 itau.com
83.240.39.133 itau.com.br
83.240.39.133 www.bradescoprime.com.br
83.240.39.133 bradescoprime.com.br
83.240.39.133 www.unibanco.com.br
83.240.39.133 unibanco.com.br
83.240.39.133 www.americanexpress.com.br
83.240.39.133 americanexpress.com.br
83.240.39.133 www.itaupersonnalite.com.br
83.240.39.133 itaupersonnalite.com.br
83.240.39.133 www.e-gold.com.br
83.240.39.133 e-gold.com.br
83.240.39.133 www.banrisul.com.br
83.240.39.133 banrisul.com.br
Кроме этого троянец собирает сведения о системе и передает их в виде запроса
на адрес:
www.jakna*****.com/lang/espanol.php
После чего завершает свою работу.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной
программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере
зависит от способа, которым программа попала на компьютер).
- Очистить каталог %Temporary Internet
Files%.
- Удалить копию троянца:
%System%\avgsec.exe
- Удалить ключ системного
реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"
- Восстановить файлы, измененные троянцем:
%System%\drivers\etc\hosts
%System%\drivers\etc\lmhosts
%WinDir%\hosts
%WinDir%\lmhosts
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными
антивирусными базами (скачать пробную версию).
взято с http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782914
