Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 19968 байт. Написана на С++.

Деструктивная активность

После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов:

http://gd***ieo.cz.cc/artful_kjfghreogfdghe.exe
http://by***shx.cz.cc/artful_kjfghreogfdghe.exe

Данный файл имеет размер 417792 байта и детектируется Антивирусом Касперского как Trojan.Win32.FakeAV.dlhw. 
http://yu***epi.cz.cc/setup.exe
http://ik***pi.cz.cc/setup.exe

Данный файл имеет размер 653312 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredolab.oii. Троянец сохраняет загруженные файлы под следующими именами:

%WinDir%\Temp\_ex-68.exe
%WinDir%\Temp\_ex-08.exe
%WinDir%\Temp\_ex-89.exe
%WinDir%\Temp\_ex-44.exe

Далее троянец запускает скачанные файлы на выполнение и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

• Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
• Удалить файлы: 
  %WinDir%\Temp\_ex-68.exe
  %WinDir%\Temp\_ex-08.exe
  %WinDir%\Temp\_ex-89.exe
  %WinDir%\Temp\_ex-44.exe
• Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.