Security Lab

Trojan-Downloader.BAT.wGet.l

Trojan-Downloader.BAT.wGet.l

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является пакетным файлом командного интерпретатора (BAT-файл).

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 265 байт.

MD5: fe6a1d447b843e8ddc51294b9dfe82d6

SHA1: 818ba3affdc4d4309fe57bd5182cdad4d8e61498


Деструктивная активность

При запуске троянец проверяет наличие соединения с сетью Интернет путем осуществления соединения с сайтом «ya.ru».

Если доступ к сети интернет есть, троянец при помощи утилиты «wget» загружает из сети Интернет файл по следующей ссылке:

http://******chnik.info/sqds/setupA.exe

На момент создания описания ссылка не работала.

Скачанный файл троянец сохраняет во временном каталоге текущего пользователя под следующим именем:

%Temp%\setupA.exe

Далее троянец выполняет следующие действия:

  • запускает созданный файл.
  • завершает процесс с именем:
    winupd.exe
  • удаляет файл:
    %WinDir%\winupd.exe
  • удаляет из своего рабочего каталога файл:
    %WorkDir%\wget.exe
  • удаляет свой исполняемый файл.

После этого троянец завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    %Temp%\setupA.exe

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!