Trojan.MSIL.Pakes.bo
Trojan.MSIL.Pakes.bo
Alexander Antipov
Троянская программа. Является приложением Windows .NET (PE-EXE файл).
Технические детали
Троянская программа. Является приложением Windows .NET (PE-EXE файл). Имеет размер 579584 байта.
MD5: aac63d4ebb5e40428ae84f2addc617a2
SHA1: e9348d3db8221f8ed118c5a0e7a3a2ebdfb3da9a
Деструктивная активность
При запуске троянец выполняет следующие действия:
- создает файлы:
%AppData%\DalxI.txt %AppData%\chrome.exe %AppData%\chrome
- создает следующие ключи системного реестра:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DoNotAllowExceptions" = 0 [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe" = "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe:*:Enabled:Windows Messanger" [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%AppData%\chrome.exe" = "%AppData%\chrome.exe:*:Enabled:Windows Messanger" [HKCU\Software\VB and VBA Program Settings\SrvID\ID] "CBNCSPGZT2" = "chrome" [HKCU\Software\VB and VBA Program Settings\INSTALL\DATE] "CBNCSPGZT2" = "<Date>"
Где <Date> – дата когда троянец был установлен на зараженном компьютере в формате «October 13, 2011». - определяет страну месторасположения зараженного компьютера путем обращения к сайту:
ipinfodb.com
- осуществляет сетевое взаимодействие с хостом:
rapeme.zapto.org:3333
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%AppData%\DalxI.txt %AppData%\chrome.exe %AppData%\chrome
- Удалить ключи системного реестра:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe" = "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe:*:Enabled:Windows Messanger" [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%AppData%\chrome.exe" = "%AppData%\chrome.exe:*:Enabled:Windows Messanger" [HKCU\Software\VB and VBA Program Settings\SrvID\ID] "CBNCSPGZT2" = "chrome" [HKCU\Software\VB and VBA Program Settings\INSTALL\DATE] "CBNCSPGZT2" = "<Date>"
- Изменить значение ключа системного реестра на исходное:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DoNotAllowExceptions" = 0
Антивирус для мозга!
Лечим цифровую неграмотность без побочных эффектов