Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Downloader.Win32.Agent.fpp

Trojan ten pobiera inny program za pośrednictwem Internetu i uruchamia go na zainfekowanej maszynie bez wiedzy czy zgodny użytkownika. Ma postać pliku PE EXE o rozmiarze 38400 bajtów. Powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało foldera systemu Windows jako "Ir32_a.exe":

%System%Ir32_a.exe 

Następnie usuwa swój oryginalny plik.

W celu zapewnienia sobie automatycznego uruchamiania się wraz z każdym restartem systemu trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit" = "C:WINDOWSsystem32userinit.exe,Ir32_a.exe"

Funkcje szkodnika

Trojan wysyła żądanie do strony zdalnego szkodliwego użytkownika:

http://www.yukor.blog55.....

W odpowiedzi otrzymuje plik zawierający odsyłacze, z których zostaną pobrane inne obiekty. Plik zostanie zapisany w katalogu głównym na dysku C: jako "tmp.dat":

C:	mp.dat

Pliki pobrane z odsyłaczy zawartych w tych plikach są zapisywane w folderze "Tymczasowe pliki internetowe" ze swoimi oryginalnymi nazwami. Po tym, jak zostaną pobrane, są uruchamiane w celu wykonania.

W momencie tworzenia tego opisu odsyłacz ten nie był aktywny.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Usuń kopię trojana:
    %System%Ir32_a.exe 
    
  2. Usuń zawartość %Temporary Internet Files%.
  3. Cofnij poniższy klucz rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    "Userinit" = "C:WINDOWSsystem32userinit.exe,Ir32_a.exe"

    na

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    "Userinit" = "C:WINDOWSsystem32userinit.exe"

  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).