Downloader.Agent.Win32.95166

Downloader.Agent.Win32.95166  – троянська програма, що завантажує на комп'ютер шкідливе ПО, ррозмір файлу 385 Кб, упакована UPX.

Методи поширення

Поширюється через файлообмінні Web-Сайти й соціальні мережі, маскуючись під деякі корисні програми, зломщики програм, генератори серійних кодів і  ключів, і т.п. Чим спонукує користувача скачати й запустити її в себе на комп'ютері.

Функціональні дії

Після запуску, троянська програма копіює своє тіло в  папку System32
 %Windir%\system32\csrcs.exe

 Для файлу csrcs.exe встановлюються атрибути "прихований" і "системний".

Для автозапуску при кожному старті системи, троянська програма змінює ключ реєстру:

[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon]
 Shell="Explorer.exe csrcs.exe” 

Маскування в системі 

Троянська програма  знижує настроювання безпеки, змінюючи наступні ключі реєстру:

 [HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 Hidden = dword:00000000 - Відключає відображення файлів і папок з атрибутом  ‘прихований’
 Showsuperhidden = dword:00000000 - Відключає відображення системних файлів

Також троян відключає можливість редагування реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Policies\System]
 Disableregistrytools=dword:00000001

 Троянська програма вивантажує з пам'яті деякі процеси, що відносяться до антивірусних програм.

Деструктивні особливості 

Троянська програма завантажує з віддаленого сервера шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на  комп'ютері опиняється різне шкідливе ПО - віруси, троянські програми й т.п.
 Також троянська програма намагається одержати зовнішню IP адресу зараженої машини й відіслати її на сервер зловмисників.

рекомендації з лікування

 Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами