Trojan.Win32.Pincav.avql

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 13312 байт. Написана на Delphi.

Деструктивная активность

После запуска троянец создает копию системного файла:

%System%\urlmon.dll

под следующим именем:

%System%\urlmons.dll

Который потом использует в своей работе.

После этого троянец внедряет вредоносный код в системный процесс с именем:

svchost

Внедренный код выполняет загрузку файла со следующего URL адреса:

http://images.****1o.com/Pictures/P1C/P1C.exe

На момент создания описания ссылка не работала.

Сохраняет скачанный файл во временном каталоге текущего пользователя под именем:

%Temp%\Pointer.exe

После чего выполняет запуск загруженного файла. Затем троянец удаляет свое оригинальное тело и завершает работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %System%\urlmons.dll  %Temp%\Pointer.exe  

MD5: FD8C0497514E5592C1DE813E0733A1DF
SHA1: 328876ABDAFC8493A44307C6159EDD3BE9E25D77