Vírusok és ellenőrzés
leírás
Trójai letöltő egyéb szoftverek a felhasználó számítógépén anélkül, hogy a felhasználó tudta, és elindítja azt végrehajtás. A program egy Windows alkalmazás (PE EXE-fájl). Méret - 87040 bájt. Ez tele van a aspack. Becsomagolatlan méretű - mintegy 152 KB. Meg van írva a Visual Basic.
telepítés
Az aktiválás után a trójai példányban a futtatható fájlt az első könyvtár a meglévő alábbi lista néven „MsnUpdtr.exe”:
- C: \ Program Files \ Messenger \ MsnUpdtr.exe
- C: \ Program Files \ Windows Live \ Messenger \ MsnUpdtr.exe
- C: \ Program Files \ Windows Live \ MsnUpdtr.exe
- C: \ Program Files \ MSN Apps \ Updater \ MsnUpdtr.exe
- C: \ Program Files \ MSN Messenger \ MsnUpdtr.exe
Ahhoz, hogy automatikusan futtatja a trójai hozzáad egy linket a futtatható fájl a rendszerleíró adatbázisban:
- [HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"MsnUpdtr" = "<путь к телу троянца>\ MsnUpdtr.exe "
hasznos teher
A trójai letölt egy fájlt a következő címen:
A letöltött fájl mentése a trójai munkakönyvtárba.
Abban az időben az írás, a letöltött fájl tartalmazza az alábbi sorokat:
A trójai akkor éri el az erőforrás amelyet a konfigurációs fájl betöltése.
Működése során a trójai létrehozza az alábbi fájlokat:
amelyben rögzíti információt a munkájuk során, mint a futás, információt fertőzött eltávolítható média.
A trójai is létrehoz az alábbi bejegyzéseket:
terjedését
A trójai másolatok teste minden írható cserélhető lemezek következő néven:
Fájl rendelt attribútumok „rejtett” (rejtett), „Rendszer” (rendszer).
Együtt a futtatható fájl, a trójai helyezi a „autorun.inf” file:
amely magában foglalja a következő sorokat:
- [Autorun]
shellexecute = MsnUpdtr.exe
shell \ elveszett = Megnyitás
shell \ elveszett \ command = MsnUpdtr.exe
shell = elveszett
A módszerek harc
Ahhoz, hogy távolítsa el a malware van szüksége: