Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Downloader.Win32.Banload.dcd

Trojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zainfekowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 113152 bajtów. Nie został w żaden sposób spakowany. Trojan ten powstał w języku programowania Visual Basic.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera plików programów Windows jako "lsass.exe":

%Program Files%Microsoft Studio Fileslsass.exe

W celu zapewnienia sobie automatycznego uruchamiania się wraz z każdym restartem systemu trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"lsass" = "%Program Files%Microsoft Studio Fileslsass.exe"

W tym samym folderze trojan tworzy następnie plik interpretatora poleceń o nazwie "vcdg.bat":

%Program Files%Microsoft Studio Filesvcdg.bat

Zapisuje do tego pliku następujące ciągi:

netsh.exe firewall add allowedprogram PROGRAM="%Program Files%Microsoft Studio 
Fileslsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL

W ten sposób trojan modyfikuje konfigurację zapory Windows XP, zezwalając na wszelką aktywność sieciową wygenerowaną przez szkodliwy proces.

"%Program Files%Microsoft Studio Filesvcdg.bat" jest następnie uruchamiany w celu wykonania.

Funkcje szkodnika

Po instalacji trojan pobiera pliki z następujących adresów URL:

http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar
http://www.*****-consult.net/rcss.res
http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg

W momencie tworzenia tego opisu, odsyłacze te nie były aktywne.

http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

Plik ten ma rozmiar 2603325 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa go jako Trojan-Spy.Win32.Banbra.bak.

Pobrane pliki są zapisywane do foldera instalacyjnego trojana z losowymi nazwami i uruchamiane w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
  2. Usuń następujący parametr klucza rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "lsass" = "%Program Files%Microsoft Studio Fileslsass.exe"

  3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  4. Usuń następujący folder i jego zawartość:
    %Program Files%Microsoft Studio Files
    
  5. Usuń wszystkie pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).