Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл).
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 56320 байт. Написана на C++.
Троянская библиотека экспортирует функцию с именем "Execute", при вызове которой выполняются следующие действия:
%Program Files%\KAV
%Program Files%\KAV\CDriver.sys(11392 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.bhvr")
Руткит предназначен для сокрытия проявлений активности троянца в системе.
%Program Files%\KAV\CDriver.Inf (4173 байта)При помощи данного файла инициализации осуществляется установка драйвера руткита.
[HKLM\System\CurrentControlSet\Services\McShield]
sc stop ZhuDongFangYu sc delete ZhuDongFangYu sc stop 360rp sc delete 360rp sc stop RsRavMon sc delete RsRavMon sc stop McNASvc sc delete McNASvc sc stop MpfService sc delete MpfService sc stop McProxy sc delete McProxy sc stop McShield sc delete McShield sc stop McODS sc delete McODS sc stop mcmscsvc sc delete mcmscsvc sc stop McSysmon sc delete McSysmon sc stop ekrn sc delete ekrn sc stop PolicyAgentТаким образом, производится остановка и удаление служб:
ZhuDongFangYu 360rp RsRavMon McNASvc MpfService McProxy McShield McODS mcmscsvc McSysmon ekrnа также остановка службы "PolicyAgent".
safemon.dll RavExt.dllто они будут выгружены.