Trojan.Win32.Agent.fc
Trojan.Win32.Agent.fc состоит из двух компонент:
jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта.
Экспортирует две функции - Hook и UnHook. Устанавливает перехватчики стандартным образом (типа 5 - WH_CBT), что позволяет следить за созданием/перемещением/разрушением окон, системными событиями и т.п. Реагирует на окна с классом "ieframe", регистрирует в динамике BHO {FB153DCE-822E-47ec-8D00-2706E7864B37}
KB290333.dll, размер 31232 байта, сжата UPX, распакованный размер 81920 байт. Регистрирует класс в реестре с CLSID {FB153DCE-822E-47ec-8D00-2706E7864B37} (легко заметить - класс, но но BHO !! А как BHO его регистрирует jaaste.dll, в момент создания окна IE - а затем запись BHO убивается, что маскирует "зверя" от анализаторов типа HijackThis - эдакай Stels-BHO).
Файл jaaste.dll хранится внутри файла KB290333.dll - в его хвосте. Антивирусы его детектируют как так-же как "Trojan.Win32.Agent.fc" Написан "зверь" на C с применением MFC/ В ходе регистрации класса его CLSID записывается в ключ Explorer\SharedTaskScheduler
Лечение
Детектирование обоих файлов занесено в базы AVZ. В случае ручного удаления файлов необходимо применить отложенное удаление AVZ и эвристическую чистку системы (она автоматически удалит следы в реестре)