Trojan-Downloader.Win32. FraudLoad.gyk


Описание
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Размер - 37888 байт. Упакована MEW. Распакованный размер – около 75 КБ. Написана на C++.


Деструктивная активность
После запуска троянец внедряет в адресное пространство процессов:

  • explorer.exe
  • iexplore.exe
  • firefox.exe

исполняемый код, реализующий подключение к серверу:

  • dlbiz.in

Далее на указанный сервер отправляется следующая информация:

  • данные об установленных в системе сетевых адаптерах;
  • серийный номер диска C:
  • значение системной локали.

Далее производится загрузка файла по следующей ссылке:

  • http://dl***iz.in/setupmodule710.exe


Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайным именем, и после успешной загрузки файл запускается на выполнение.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. При помощи "Диспетчера задач" завершить, а затем заново запустить процесс "EXPLORER.EXE".
  2. При помощи "Диспетчера задач" завершить процессы:
    • iexplore.exe
    • firefox.exe

  3. Удалить оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  4. Удалить загруженный троянцем файл в каталоге "%Temp%".
  5. Очистить систему программами CCleaner или jv16PowerTools.
  6. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.