Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe
Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe csrcs.exe"
Деструктивная активность
Троянец изменяет значения параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "2" "SuperHidden" = "0" "ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и папок.
Троянец производит загрузку файлов со следующих URL:
http://www.whatismyip.com/automation/*****945.asp http://sousi.extasix.com/*****st.htm http://lemox.myhome.cx/*****om.htm
Загруженные файлы сохраняются в кеш Internet Explorer.
Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
Далее файл "%Temp%\suicide.bat" запускается на выполнение.
К сведению этот зверёк написан на скриптовом языке AutoIt
Ещё он на флешки себя любит копировать.
Как же его удалить? Лекарство.
1) Скачать утилиту Drweb CureIT (бесплатная на сайте производителя), проверить на вирусы. Вылечить\удалить вирусы 2) Нажимаем "Пуск" - "Выполнить", пишем там "regedit" 3) Открываем ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
4) Находим справа параметр "CheckedValue". 5) Устанавливаем ему значение 1. Закрываем окно. 6) Открываем любую папку, заходим: "Сервис - Свойства папки", жмем "Показывать скрытые файлы и папки".
Радуемся жизни :-)
|