Trojan.Win32.Agent.ezav


Описание
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Размер - 14336 байт. Написана на C++.


Деструктивная активность
После запуска троян выполняет следующие действия:

  1. Выгружает из системной памяти процессы:
    • RapportMgmtService.exe
    • RapportService.exe
  2. Блокирует запуск перечисленных процессов, создавая ключи системного реестра:
    • [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RapportMgmtService.exe]
      "Debugger" = "ZASRAKOMONDOHUI31338.EXE"
    • [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RapportService.exe]
      "Debugger" = "ZASRAKOMONDOHUI31338.EXE"
  3. Удаляет содержимое файлов:
    • %Program Files%/Trusteer/Rapport/bin/RapportMgmtService.exe
    • %Program Files%/Trusteer/Rapport/bin/RapportService.exe
    • %Program Files%/Trusteer/Rapport/bin/RapportKELL.sys
    • %Program Files%/Trusteer/Rapport/bin/RapportPG.sys

После чего троян завершает свою работу.


Методы борьбы

  1. Удалить оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  2. Удалить ключи системного реестра:
    • [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RapportMgmtService.exe]
      "Debugger" = "ZASRAKOMONDOHUI31338.EXE"
    • [HKLM/Software/Microsoft/Windows NT/CurrentVersion/mage File Execution Options/RapportService.exe]
      "Debugger" = "ZASRAKOMONDOHUI31338.EXE"
  3. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.