Trojan.Pincav.Win32.925
Trojan.Pincav.Win32.925 – троянская программа, извлекающая из своего тела несколько видов вредоносных программ и устанавливающая их в систему.
Методы распространения
Данное вредоносное программное обеспечение рраспространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждают пользователя скачать его и запустить у себя на компьютере. Также, оно активно рраспространяются по почте в виде писем с вложениями.
Внедрение в систему
Извлекает из своего тела и устанавливает в систему следующие файлы:
%Temp%\3.tmp
%System %\lowsec\setup.exe
%System %\ lowsec\local.ds
%System %\ lowsec\user.ds
%System%\ lowsec\user.ds.lll
%System %\sdra64.exe
% Windir %\update.exe
%Windir%\1260112523.exe
Для автоматического запуска при каждом старте системы вносит изменения в ключ реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Добавляя строку:
Userinit = %System%\sdra64.exe
Внедряет часть своего кода в следующие системные процессы:
services.exe
lsass.exe
svchost.exe
alg.exe
Удаляет ветви реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew]
[HKCU \Software\Microsoft\Windows\ShellNoRoam\MUICache]
Сетевая активность
Создает сетевые соединения со следующими сайтами:
ya.ru
http://checkip.dyndns.org/
Пытается загрузить на компьютер файлы со следующих сайтов:
ruzonedomains.ru POST /blog/6174564458.php
ruzonedomains.ru /forum/fghjdv1.bi
ruzonedomains.ru /forum/fghjdv1.bin
Для определения своего присутствия в системе и контроля активности троянская программа создаёт несколько уникальных идентификаторов "mutex" с именами: “_AVIRA_<НОМЕ >”, “A10215D001C97248000000B82”, “FNmzogqWXhHligvECDBZCu”.
Деструктивные действия
Применяется для кражи финансовой информации, такой как номера кредитных карт и авторизационные данные для on-line банкинга. Троянская программа делает скриншоты экрана и загружает другое вредоносное програмное обеспечение из сети Internet, кроме того, открывает удалённый доступ злоумышленникам на зараженную систему.
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.
