Trojan.Win32.Fregee.x


Описание
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Размер - 22016 байт. Написана на C++.


Деструктивная активность
Троянец копирует свое тело в системный каталог Windows под именем "lkmj.bdo":

  • %System%\lkmj.bdo

Для своего автоматического запуска троян добавляет запись в ключ автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe rundll32.exe lkmj.bdo igtvkg"

 

 Троян устанавливает низкий уровень безопасности при установленном пакете приложения "Microsoft Office". При этом записует следующие значения в ключ системного реестра:

 

  • [HKCU\Software\Microsoft\Office\11.0\Word\Security]
    "Level" = "1"
    "AccessVBOM" = "1"

И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.

Так же троян создает уникальный идентификатор с именем:

  • 10230294213cfa30ad


Следующим своим действием троян создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:

  • svchost.exe


Троянец отправляет запрос по следующему адресу:

  • http://dal***ws.cn/myl/bb.php

В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

  • [HKCR\idid]


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  2. Удалить файлы:
    • %System%\lkmj.bdo

  3. Удалить ключ системного реестра (реестр):
    • [HKCR\idid]

  4. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра:
    • [HKCU\Software\Microsoft\Office\11.0\Word\Security]
      "Level"
      "AccessVBOM"

  5. Восстановить значение параметра ключа системного реестра на следующее:
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Shell" = "Explorer.exe"

  6. Очистить систему от "мусора" программами CCleaner или jv16PowerTools
    7. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.