Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
скрытной инсталляции троянских программ и вирусов;
защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Троянская программа, устанавливающая в систему другую вредоносную программу, блокирующую работу операционной системы Windows. Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Деструктивная активность
После активации троянец извлекает из своего тела файл во временный каталог текущего пользователя Windows:
%Temp%\<rnd>.tmp
Где <rnd> - случайная последовательность цифр и букв латинского алфавита.
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.
После успешного сохранения файл запускается на выполнение. Извлеченный троянец выполняет следующие действия:
Для автоматического запуска при следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
где <rnd1> - URL ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, <rnd2> - специально сформированный уникальный идентификатор, <rnd3> - случайное число, <rnd4> - серийный номер жесткого диска.
После перезагрузки компьютера троянец выводит следующее окно:
При разблокировании операционной системы Windows в рабочем каталоге троянца создается файл командного интерпретатора под имеем "a.bat":
%Work%\a.bat
В данный файл записывается код для удаления оригинального файла троянца и самого файла командного интерпретатора. Затем файл "%Work%\a.bat" запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: