Уязвимые ОС: Windows
Размер: 20,480 байт
Упакован: -
- Написан на Visual Basic.
- Устанавливается на инфицированный компьютер инсталлятором вредоносных программ Trojan.MulDrop.15089.
- При своём запуске создаёт копию исходного файла-носителя в %SystemRoot%\system32\interne.exe.
- Для обеспечения своего запуска при каждом старте Windows регистрирует %SystemRoot%\system32\interne.exe как сервис:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\ImagePath: %SystemRoot%\system32\interne.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Description: "Enables Help and Support Center to run on this computer. If this service is stopped, Help and Support Center will be unavailable. If this service is disabled, any services that explicitly depend on i
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\helpsvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\helpsvc\ImagePath: %SystemRoot%\system32\interne.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\helpsvc\Description: "Enables Help and Support Center to run on this computer. If this service is stopped, Help and Support Center will be unavailable. If this service is disabled, any services that explicitly depend on i - Соединяется с удалённым сервером и пытается скачать модифицированный вариант Trojan.MulDrop.15089, который рекурсивно устанавливает Trojan.DownLoader.59812 и Trojan.KillAV.8.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".