Статьи
Эта троянская программа была обнаружена 11 августа 2009 года. Trojan.Win32.Slefdel.eah является одной из самых опасных
вирусных программ. Она выполняет различные деструктивные действия на компьютере пользователя. Этот троян является
приложением Windows (PE – EXE файл). Троян написан на “Delphi» и имеет небольшой размер в 90 КБ.
После загрузки данной вредноносной программы, троянец производит копирование исполняемого файла в каталог
«Windows» со следующим именем:
%WinDir%\M.exe, где rnd – это 2 десятичных числа.
Троянская программа также добавляет к файлу атрибуты: «Скрытый» и «Системный». Кроме данных действий, троянская
программа может добавлять специальную ссылку на исполняемый файл. Этот файл троян встраивает в ключ автозапуска
системного реестра.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSysM" = "%WinDir%\M.exe"
Кроме этого, троянская программа производит загрузку файлов из данных интернет - ссылок:
http://192.168.1.***/version.txt
http://192.168.1.***/ MIR.dll
Далее, троянская программа сохраняет эти ссылки под именами:
%WinDir%\version.txt
%WinDir%\M.dll
После проведения этих операций, вирус блокирует перезагрузку в MS – DOS. Позже, вирус удаляет параметр «NoRealMode»
из ключа системного реестра.
Далее, эта программа внедряет свое ядро в файл «explorer.exe». Чтобы удалить свой файл, троянская программа создает
BAT – файл в системном каталоге «Windows».
%System%\Deleteme.bat
Также, троянская программа производит запуск командного интерпретатора "Deleteme.bat"
Для того, чтобы удалить данную программу из операционной системы, необходимо проделать следующие манипуляции
Во – первых, произвести удаление в в ключах реестра.
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"WinSysM" = "%WinDir%/rndM.exe"
Во – вторых, удалить следующие файлы:
"WinSysM" = "%WinDir%/rndM.exe"
%WinDir%/version.txt
%WinDir%/rndM.dll
В третьих, проверить файлы надежной антивирусной программой с обновленными базами.