Downloader.Agent.Win32.95166

Downloader.Agent.Win32.95166  – троянская программа, загружающая на компьютер вредоносное ПО, рразмер файла 385 Кб, упакована UPX.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и  ключей, и т.п. Чем побуждает пользователя скачать и запустить её у себя на компьютере.

Функциональные действия

После запуска, троянская программа копирует своё тело в  папку System32
%WinDir%\system32\csrcs.exe

Для файла csrcs.exe устанавливаются атрибуты "скрытый" и "системный".

Для автозапуска при каждом старте системы, троянская программа изменяет ключ реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell="Explorer.exe csrcs.exe” 

Маскировка в системе 

Троянская программа  понижает настройки безопасности, изменяя следующие ключи реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 Hidden = dword:00000000 - Отключает отображение файлов и папок с атрибутом  ‘Скрытый’
 ShowSuperHidden = dword:00000000 - Отключает отображение системных файлов

Также троян отключает возможность редактирования реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 DisableRegistryTools=dword:00000001

Троянская программа выгружает из памяти некоторые процессы, относящиеся к антивирусным программам.

Деструктивные особенности 

Троянская программа загружает с удалённого сервера вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на  компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.
Также троянская программа пытается получить внешний IP адрес зараженной машины и отослать его на сервер злоумышленников.

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.