Technické detaily
Tento trojský kůň stahuje další programy přes internet a na trh je pro provedení na počítač oběti, aniž by uživatele vašeho vědomí. To je HTML stránka, která obsahuje Visual Basic Script. To je 3875 bytů.
Užitečná
Jakmile trh, Trojan vstřikuje svůj kód do paměti procesu, který má následující mutex v systémovém registru:
{BD96C556-65A3-11D0-983A-00C04FC29E36}
Trojan využívá chybu v komponentě ActiveX XMLHTTP ke stažení souborů z následujících adresách:
http://astarventure.com/ ***** / get.php? EXE file =
http://astarventure.com/ ***** / web.exe
V době psaní tohoto textu, tyto linky byly nefunkční.
Trojan využívá zranitelnost v ActiveX komponenty ADODB.Stream ukládat stažené soubory do adresáře Windows pod jménem náhodně generované. Také ukládá soubory do aktuálního uživatele dočasného adresáře jako "web.exe" @
WinDir%% \ <rnd>. EXE
<rnd> je sbírka náhodných písmen, např. "nohht".
% TEMP% \ web.exe
Stažené soubory jsou pak zahájil na popravu.
Odstranění návod
Pokud váš počítač nemá up-to-date antivirus, nebo nemá antivirového řešení vůbec, postupujte podle pokynů k odstranění škodlivého programu:
- Odstranění původní Trojan soubory umístění bude záviset na tom, jak program původně pronikl oběti stroj).
- Odstraňte následující soubory:WinDir%% \ <rnd>. EXE% TEMP% \ web.exe
Žádné komentáře:
Okomentovat