Security Lab

Trojan.Win32.Diple.ple

Trojan.Win32.Diple.ple

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 94208 байт. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела следующий файл:

%CommonProgramFiles%\msado320.tlb

Файл имеет размер 69632 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.nccy.

Для извлеченного файла троянец устанавливает дату создания и модификации аналогичную как для каталога

%CommonProgramFiles%\

Далее троянец регистрирует в системе извлеченную библиотеку, для чего создает запись в системном реестре Windows:

[HKLM\System\CurrentControlSet\Services\
lanmanserver\parameters]
"ServiceDll"= "%CommonProgramFiles%\msado320.tlb"

После этого троянец перемещает свое оригинальное тело во временный каталог Windows и выполняет для него отложенное удаление.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

2. Удалить файлы:

%CommonProgramFiles%\msado320.tlb

3. Восстановить значение параметра "ServiceDll" в ключе системного реестра, которое имеет следующий вид:

[HKLM\System\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll"= "%System%\srvsvc.dll"

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь