Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 65536 байт. Написана на Visual Basic.
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "GoogleUpdate"="\<имя вредоноса>"
После запуска троянец удаляет файл:
c:\avenger.txtЗатем модифицирует файл:
c:\windows\system32\drivers\etc\hostsВ который записывает следующие данные:
199.238.140.108 visanet.com.br 199.238.140.108 www.visanet.com.br 199.238.140.108 www.openbank.es 199.238.140.108 openbank.es 199.238.140.108 www.lacaixa.es 199.238.140.108 lacaixa.es 199.238.140.108 www.bancoreal.com.br 199.238.140.108 www.real.com.br 199.238.140.108 www.real.com.br 199.238.140.108 www.itau.com.br 199.238.140.108 itau.com.br 199.238.140.108 www.itaupersonnalite.com.br 199.238.140.108 itaupersonnalite.com.br 199.238.140.108 www.itauprivatebank.com.br 199.238.140.108 itauprivatebank.com.br 199.238.140.108 www.bb.com.br 199.238.140.108 bb.com.br 199.238.140.108 www.bb.gov.br 199.238.140.108 bb.gov.br 199.238.140.108 bradesco.com.br 199.238.140.108 www.bradesco.com.br 199.238.140.108 www.bradescoprime.com.br 199.238.140.108 bradescoprime.com.br 199.238.140.108 bradescojuridico.com.br 199.238.140.108 www.checktudo.com.br 199.238.140.108 checktudo.com.br 199.238.140.108 www.infoseg.gov.br 199.238.140.108 infoseg.gov.br 199.238.140.108 www.real.com.br 199.238.140.108 real.com.br 199.238.140.108 www.bradescojuridico.com.br 199.238.140.108 santander.com.br 199.238.140.108 www.santander.com.br 199.238.140.108 banespa.com.br 199.238.140.108 www.nossacaixa.com.br 199.238.140.108 nossacaixa.com.br 199.238.140.108 www.unibanco.com.br 199.238.140.108 unibanco.com.br 199.238.140.108 www.banespa.com.br 199.238.140.108 banespa.com.br 199.238.140.108 www.itauprivatebank.com.br 199.238.140.108 itauprivatebank.com.br 199.238.140.108 caixacatalunya.es 199.238.140.108 www.caixacatalunya.es 199.238.140.108 banesto.es 199.238.140.108 www.banesto.es 199.238.140.108 www.cajamadrid.es 199.238.140.108 cajamadrid.es 199.238.140.108 www.bbva.es 199.238.140.108 bbva.es 199.238.140.108 serasa.com.br 199.238.140.108 www.serasa.com.br 199.238.140.108 www.cam.es 199.238.140.108 cam.es 199.238.140.108 portal.lacaixa.es 199.238.140.108 www.banespa.com.br 199.238.140.108 www.caixa.com.br 199.238.140.108 caixa.com.br 199.238.140.108 www.caixaeconomicafederal.com.br 199.238.140.108 caixaeconomicafederal.com.br 199.238.140.108 www.cef.com.br 199.238.140.108 cef.com.br 199.238.140.108 www.caixa.gov.br 199.238.140.108 caixa.gov.br 199.238.140.108 www.caixaeconomica.com.br 199.238.140.108 caixaeconomica.com.br 199.238.140.108 www.caixaeconomica.gov.br 199.238.140.108 caixaeconomica.gov.br 199.238.140.108 www.cef.gov.br 199.238.140.108 www.caixaeconomicafederal.gov.br 199.238.140.108 caixaeconomicafederal.gov.br 199.238.140.108 cetelem.com.br 199.238.140.108 www.cetelem.com.br 199.238.140.108 citibank.com.br 199.238.140.108 www.citibank.com.br 199.238.140.108 www.pagamentodigital.com.br 199.238.140.108 pagamentodigital.com.br 199.238.140.108 www.cartaobndes.gov.br 199.238.140.108 cartaobndes.gov.br 199.238.140.108 americanas.com.br 199.238.140.108 www.americanas.com.br 199.238.140.108 americanas.com 199.238.140.108 www.americanas.comДалее троянец загружает файлы со следующих URL адресов:
http://www.paviperfil.pt/images/atual.txt http://www.paviperfil.pt/images/atual4.gifНа момент создания описания ссылки не работали.
Загруженные файлы троянец сохраняет под следующими именами:
<WorkDir>\atual.txt <WorkDir>\atual.exeПосле этого троянец запускает на выполнение файл "atual.exe".
Также троянец скрывает окно с заголовком:
avenger - Bloco de notas
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "GoogleUpdate"="<WorkDir>\<имя вредоноса>"
c:\windows\system32\drivers\etc\hostsкоторое по умолчанию имеет следующий вид:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost
<WorkDir>\atual.txt <WorkDir>\atual.exe
В Матрице безопасности выбор очевиден