Trojan.Injector.Win32.48488
Trojan.Injector.Win32.48488 - Троянська програма, яка впроваджується в пам'ять інших процесів. розмір файлу - 24064 байт.
Методи розповсюдження
розповсюджується через файлообмінні Web-сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукає користувача скачати її і запустити в себе на комп'ютері. Також, вона активно поширюються поштою у вигляді листів із вкладеннями.
Впровадження в систему
Троян копіює своє тіло в папку C:\RECYCLER\<номер> під довільним іменем. Наприклад: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3467\gg44.exe
Для автоматичного запуску при кожному старті системи, додає наступні ключі реєстру:
[HKCU\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Shell= "explorer.exe,C:\RECYCLER\<номер>\<випадкове ім'я>.exe"
[HKCU\Software\Microsoft\Windows\Currentversion\Run]
ef25= "C:\RECYCLER\<номер>\<випадкове ім'я>.exe"
[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Taskman= "C:\RECYCLER\<номер>\<випадкове ім'я>.exe"
Для визначення своєї присутності в системі й контролю активності троян створює унікальний ідентифікатор "mutex" з іменем: 'ddddddddd'.
Методи маскування в системі
Впроваджує частину свого коду в пам'ять наступних процесів:
Мережева активність
Створює з'єднання з наступними віддаленими серверами:
Деструктивные действия
Завантажує з мережі Internet шкідливе ПЗ, і встановлює його на заражений комп'ютер. В результаті чого на комп'ютері опиняється велика кількість різноманітних шкідливих програм – вірусів, Backdoor, Trojan і т.д.
рекомендації з лікування
Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.
