Распространяется через письма по e-mail, вроде:
Цитата:Привет, посмотри мои фотки!
По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
- устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в
Код:
HKEY_USERS\%Profile%\Software\Microsoft\Windows\CurrentVersion\Run1\
- устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в
Код:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run0\
- в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как
Код:
BHO e3a729da-eabc-df50-1842-dfd682644311
magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
svchost.exe создает возможность работать в сети от имени зараженного компьютера.
mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.
Симптомы:
1. Возросший сетевой траффик
2. Возможны зависания компьютера, в редких случаях BSOD
Лечиться с помощью AVZ скачять :тут
Лечение:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('realfoto.exe');
DeleteFile('%System32%\magent.exe');
DeleteFile('%WinDir%\svchost.exe');
DeleteFile('%System32%\mswapi.dll');
DelBHO('e3a729da-eabc-df50-1842-dfd682644311');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
