опис
Троянська програма, що викачує інше програмне забезпечення на комп'ютер користувача без відома користувача і запускає його на виконання. Програма є додатком Windows (PE EXE-файл). Розмір - 87040 байт. Упакована за допомогою ASPack. Розпакований розмір - близько 152 КБ. Написана на Visual Basic.
інсталяція
Після активації троян копіює свій виконуваний файл в перший з існуючих каталогів нижчезазначених під ім'ям "MsnUpdtr.exe":
- C: \ Program Files \ Messenger \ MsnUpdtr.exe
- C: \ Program Files \ Windows Live \ Messenger \ MsnUpdtr.exe
- C: \ Program Files \ Windows Live \ MsnUpdtr.exe
- C: \ Program Files \ MSN Apps \ Updater \ MsnUpdtr.exe
- C: \ Program Files \ MSN Messenger \ MsnUpdtr.exe
Для автоматичного запуску троян додає посилання на свій виконуваний файл в ключ автозапуску системного реєстру:
- [HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"MsnUpdtr" = "<путь к телу троянца>\ MsnUpdtr.exe "
деструктивна активність
Троян завантажує файл з наступного URL:
Завантажений файл зберігається в робочому каталозі троянця.
На момент створення опису долучення містив такі рядки:
Потім троянець виконує звернення до ресурсу вказаною в завантаженому файлі конфігурації.
Під час своєї роботи троян створює такі файли:
в які записує інформацію про хід своєї роботи, таку як запуск, інформація про заражених змінних носіях.
Також троянець створює такі записи в системному реєстрі:
поширення
Троянець копіює своє тіло на всі доступні для запису знімні диски під таким ім'ям:
Файлу присвоюються атрибути "прихований" (hidden), "системний" (system).
Разом зі своїм виконуваним файлом троянець поміщає файл "autorun.inf":
який містить наступні рядки:
- [Autorun]
shellexecute = MsnUpdtr.exe
shell \ lost = Open
shell \ lost \ command = MsnUpdtr.exe
shell = lost
методи боротьби
Для видалення шкідливий необхідно: