понедельник, 18 апреля 2016 г.

О вирусе Win32:Dropper-gen[Drp]


Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24856 байт. Упакована PE_Patch, UPack. Распакованный размер – около 696 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
    %Temp%\~~<rnd1>.~~~
    (606208 байт; детектируется Антивирусом Касперского как «Trojan-GameThief.Win32.WOW.vxq»)
    %System%\<rnd2>.ini
    (2348 байт; является вспомогательным файлом троянца, вредоносного кода не содержит) где <rnd1> и <rnd2> – случайные последовательности цифр и латинских букв (например: «415f784» и «t329117»).
  • Запускает системную утилиту «rundll32.exe» со следующими параметрами:
    %Temp%\~~<rnd1>.~~~ Install <полный путь к оригинальному файлу троянца>
    Это приводит к вызову функции «Install» из извлеченной ранее библиотеки.
После этого троянец завершает свою работу. 

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Перезагрузить компьютер в «безопасном режиме»  самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    %Temp%\~~.~~~
%System%\.ini
  4. Произвести полную проверку компьютера антивирусом

Также известен как

  • Trojan: PWS-Lolyda  (McAfee)
  • Mal/Generic-A  (Sophos)
  • W32/Heuristic-210!Eldorado  (FPROT)
  • PWS:Win32/Lolyda.AU  (MS (OneCare))
  • Trojan.PWS.Gamania.23380  (DrWeb)
  • Win32/PSW.OnLineGames.ORR trojan  (Nod32)
  • Trojan.PWS.Lolyda.AID  (VirusBuster)
  • Win32:Malware-gen  (AVAST)
  • Backdoor.Win32.Rbot  (Ikarus)
  • PSW.OnlineGames3.ZPA  (AVG)
  • TR/Dropper.Gen  (AVIRA)
  • Infostealer.Gampass  (NAV)
  • W32/Packed_Upack.A  (Norman)
  • Trojan.Win32.Generic.51F708EA  (Rising)
  • Trojan-Dropper.Win32.Killav.ok [AVP]  (FSecure)
  • Cryp_Xed-12  (TrendMicro)
  • Trojan.Win32.Packer.Upack0.3.9 (v (Sunbelt)
  • Trojan.PWS.Lolyda.AID  (VirusBusterBeta)
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)