Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Downloader.Win32.Agent.mee

Szkodnik ten jest trojanem. Ma postać pliku PE EXE. Rozmiar zainfekowanych plików może wahać się od 70KB do 260KB. Nie został w żaden sposób spakowany. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":

%System%inetsrvlsass.exe

Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load" = "%System%inetsrvlsass.exe"

Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.

Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.

Tworzy również następujący klucz rejestru:

[HKLMSoftwareMicrosoftInternet Explorerinet.]
"Day" = "(data uruchomienia trojana)"

Funkcje szkodnika

Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej:

:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe

(x) określa dysk.

Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku:

(X):autorun.inf

Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.

Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKLMSoftwareMicrosoftInternet Explorerinet.]
    "Day" = "(data uruchomienia trojana)"

  3. Usuń następującą wartość parametru klucza rejestru:

    [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "load" = "%System%inetsrvlsass.exe"

  4. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  5. Usuń następujące pliki:
    %System%inetsrvlsass.exe
    :MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe
    :autorun.inf
    
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
Trojan-Downloader.Win32.Agent.mee (Kaspersky Lab),