Статьи
Данная троянская программа была обнаружена в сети Интернет 16 сентября 2009 года. Основная задача этой вредоносной
троянской программы заключается в том, чтобы производить скачивание различного программного обеспечения на
компьютер, без ведома пользователя. После скачивания программы, троян запускает команду на ее исполнение.
Эта программа представляет собой приложение Windows (PE EXE - файл). Программа имеет небольшой размер в 38400 байт
и написана на C++.
Инсталляция программы начинается с копирования тела вируса в системный каталог «Windows» под именем:
%System%Ir32_a.exe:
Следом за данным действием программа удаляет оригинальный файл. Чтобы осуществлять автоматический запуск в
операционной системе, троянская программа добавляет ссылку на свой исполняемый файл в ключ автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows NT\CuentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
Внедрившись в компьютер пользователя, данная программа выполняет деструктивную активность. Прежде всего, троянец
производит отправку запроса на сайт злоумышленника:
http://www.***blog5566.com/images/yukor.gif
http://www.***blog5566.com/images/yukor.jpg
http://www.***blog5566.com/images/yukor.bmp
После этого, троянская программа получает файл с различными ссылками. Ссылки необходимо скачать. Файл троянской
программы сохраняется в корневой каталог диска «С» и имеет имя «tmp.dat».
c:tmp.dat
При этом все ссылки программы сохраняются во временном каталоге файлов интернет под оригинальными именами,
а далее запускаются на выполнение.
Для удаления данной троянской программы необходимо произвести следующие манипуляции:
1. Произвести удаление оригинального файла троянской программы в том случае, если троянская программа не удалит
сама себя.
2. Следующий этап – это удаление копии троянской программы:
%System%\Ir32_a.exe
3. Произвести очистку каталога «Temporary Internet Files», который содержит инфицированные файлы.
4. Осуществить изменение ключей системного реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe,Ir32_a.exe
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = C:\WINDOWS\system32\userinit.exe
5. На последнем этапе необходимо провести полную проверку компьютера с использованием мощной
антивирусной программы.