Trojan.Pincav.Win32.925
Trojan.Pincav.Win32.925 – троянська програма, що витягає зі свого тіла кілька видів шкідливих програм, і встановлює їх у систему.
Методи розповсюдження
Дане шкідливе програмне забезпечення ррозповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під деякі корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукає користувача скачати його й запустити в себе на комп'ютері. Також, воно активно ррозповсюджуються поштою у вигляді листів із вкладеннями.
Впровадження в систему
Витягає зі свого тіла й встановлює в систему наступні файли:
% Temp%\3.tmp
%System %\lowsec\setup.exe
%System %\ lowsec\local.ds
%System %\ lowsec\user.ds
%System%\ lowsec\user.ds.lll
%System %\sdra64.exe
% Windir %\update.exe
%Windir%\1260112523.exe
Для автоматичного запуску при кожному старті системи вносить зміни в ключ реєстру:
[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Додаючи рядок:
Userinit = %System%\sdra64.exe
Впроваджує частину свого коду в наступні системні процеси:
services.exe
lsass.exe
svchost.exe
alg.exe
Віддаляє гілки реєстру:
[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Discardable\Postsetup\Shellnew]
[HKCU \Software\Microsoft\Windows\Shellnoroam\Muicache]
Мережева активність
Створює мережеві з'єднання з наступними сайтами:
ya.ru
http://checkip.dyndns.org/
Намагається завантажити на комп'ютер файли з наступних сайтів:
ruzonedomains.ru POST /blog/6174564458.php
ruzonedomains.ru /forum/fghjdv1.bi
ruzonedomains.ru /forum/fghjdv1.bin
Для визначення своєї присутності в системі й контролю активності троянська програма створює кілька унікальних ідентифікаторів "mutex" з іменами: “_AVIRA_<НОМЕ >”, “A10215D001C97248000000B82”, “Fnmzogqwxhhligvecdbzcu”.
Деструктивні дії
Застосовується для крадіжки фінансової інформації, такої як номера кредитних карт і авторизаційні дані для on-line банкинга. Троянська програма робить скріншоти екрана й завантажує інше шкідливе програмне забезпечення з мережі Internet, крім того, відкриває дистанційний доступ зловмисникам на заражену систему.
рекомендації з лікування
Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.
