Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Downloader.Win32.Small.ydh

Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zdalnej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 34816 bajtów. Nie został w żaden sposób spakowany. Powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera tymczasowego systemu Windows w następujący sposób:

%Temp%hbgdown.exe
%Temp%msdtc.exe

W celu zapewnienia sobie uruchamiania się wraz z następnym startem systemu trojan tworzy usługę o nazwie “HTTP SSH”:

[HKLMSYSTEMCurrentControlSetServicesHTTP SSH]
"DisplayName" = "HTTP SSH"
"ErrorControl" = "0"
"ImagePath" = "%Temp%msdtc.exe"
"ObjectName" = "LocalSystem"
"Start" = "2"
"Type" = "10"

Funkcje szkodnika

Trojan pobiera plik z poniższego adresu URL:

http://*****gcdon.com.cn/v.exe

Plik ten jest zapisywany do foldera tymczasowego systemu Windows w następujący sposób:

%Temp%gbn.exe

Pobrany plik zostanie następnie uruchomiony w celu wykonania.

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesHTTP SSH]

  3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  4. Usuń następujące pliki:
     
    %Temp%hbgdown.exe
    %Temp%msdtc.exe
    %Temp%gbn.exe
    
  5. Usuń pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).