Статьи
В апреле месяце 2009 года был обнаружен новый вирус. Вирус представляет собой троянскую программу, которая
осуществляет различные деструктивные действия на компьютере пользователя. Данная программа, как и многие другие
троянские программы, представляет собой приложение «Windows», которое упаковано неизвестным упаковщиком и
имеет размер 39936 байт. Общий размер файла составляет 67 Кб. Программа написана на языке C++.
При внедрении на компьютер пользователя программа создает следующую деструктивную активность:
Троянская программа Trojan.Win32.Agent.byvk прописывает во временном каталоге «Windows» файл под названием
"clk.nls" (где — случайный набор цифр):
%Temp%\clk.nls.
Общий файл имеет размер 2304 байта и определяется различными антивирусными программами, как троян
«Rootkit.Win32.Tiny.cr». После этого, троянская программа производит сканирование системного каталога «Windows»,
а затем находит случайный файл. Из имени данного файла программа получает 2 первых символа. Троян также добавляет
к символам случайное число, расширение «sys». После этого, вирус копирует извлеченный файл под именем:
%System%\at1394.sys
Следующий этап действий троянца – это добавление записи в ключ сервисов системного реестра:
[HKLM\System\CurrentControlSet\Services\at1394]
Вирус прописывает во временном каталоге «Windows» файл с именем:
"clk.nls" (где — случайный набор цифр):
%Temp%\clk.nls
Созданный файл «весит» 20992 байта и определяется новыми антивирусами. Вирус носит название -
Trojan.Win32.Obfuscated.aeob. Троянская программа производит сканирование системного каталога «Windows»
и производит выбор случайного файла. Из имени файла данная вирусная программа получает 2 первых символа
и прибавляет к символам случайное число с расширением «sys». Далее вирус копирует файл, создавая имя, подобное этому:
%System%\6to4v32.dll
При каждом новом запуске операционной системы, троянская программа добавляет запись в ключ сервисов системного
реестра. [HKLM\System\CurrentControlSet\Services\6to4]
Далее вирус заканчивает работу, а после производит управление оригинального исполняемого файла.
В том случае, если Ваш компьютер все же оказался заражен «троянцем» рекомендуется последовательно произвести
следующие операции: Во – первых, необходимо удалить файл троянской программы.
Во – вторых, следует удалить файлы, которые созданы троянской программой:
1. %System%\at1394.sys
2. %System%\6to4v32.dll
После этого, необходимо удалить ключи системного реестра.
[HKLM\System\CurrentControlSet\Services\at1394]
[HKLM\System\CurrentControlSet\Services\6to4]
Последний этап – это полная проверка компьютера с обновленными антивирусными базами.