Trojan.Injector.Win32.48488
Trojan.Injector.Win32.48488 - Троянская программа, которая внедряется в память других процессов. размер вредоносного ПО - 24064 байт.
Методы распространения
распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждают пользователя скачать его и запустить у себя на компьютере. Также, активно рраспространяется по почте в виде писем с вложениями.
Внедрение в систему
Троян копирует своё тело в папку C:\RECYCLER\<номер> под произвольным именем. Например: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3467\gg44.exe
Для автоматического запуска при каждом старте системы добавляет следующие ключи реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell= "explorer.exe,C:\RECYCLER\<номер>\<случайное имя>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ef25= "C:\RECYCLER\<номер>\<случайное имя>.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Taskman= "C:\RECYCLER\<номер>\<случайное имя>.exe"
Для определения своего присутствия в системе и контроля активности троян создаёт уникальный идентификатор "mutex" с именем: 'ddddddddd'.
Методы маскировки в системе
Внедряет часть своего кода в память следующих процессов:
Сетевая активность
Создает соединение со следующими удалёнными серверами:
Деструктивные действия
Загружает из сети Internet вредоносное ПО, и устанавливает его на зараженный компьютер. В результате чего на компьютере оказывается большое количество разнообразных вредоносных программ – вирусов , Backdoor, Trojan и т.д.
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.
