Trojan-Downloader.BAT.Ftp.kh


Описание
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя. Является пакетным файлом командного интерпретатора (BAT-файл). Размер - 257 байт.


Деструктивная активность
При запуске троян останавливает работу службы брандмауэра Windows "sharedaccess". После чего извлекает из своего тела файл содержащий набор команд утилиты "ftp.exe" и сохраняет его в своем рабочем катале под именем:

  • %WorkDir%\cmd.txt


Далее запускается "ftp.exe" и в параметрах ему передается имя извлеченного файла. Это приводит к загрузке из сети Интернет файла расположенного на FTP-сервере по следующей ссылке:

  • ftp://****fg.3322.org/qq.exe

На момент описания ссылка не работала

Скачанный файл сохраняется в рабочем каталоге троянца под следующим именем:

  • %WorkDir%\qq.exe


Троян удаляет файл:

  • %WorkDir%\cmd.txt

Далее скачанный файл запускается, после чего троянец завершает свою работу.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    • %WorkDir%\qq.exe

  3. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt!.