03.03.2007
Backdoor.Win32.Small.ob
Троянская программа, исполняемый файл сжат UPX, размер 8704 байта, распакованный размер 12800 байт. В случае запуска скрытно пытается выполнить следующие операции:
1. Пытается удалить файл WINDOWS\system32\cvrss.exe
2. Удаляет параметр ATI из ключа реестра Software\Microsoft\Windows\CurrentVersion\Run
3. Создает свою копию под именем WINDOWS\system32\acrmon32.exe
4. Создает параметр с именем "Acrobat" в
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, значение параметра WINDOWS\system32\acrmon32.exe
5. Обменивается с http://srv01.[deleted].com/cv.php, создает файл
WINDOWS\ptfcfg.ini - с настройками
6. загружает файл http://srv01.[deleted]/hp.exe размером 14848 байта, сохраняет его
под именем TEMP\filex.exe и запускает его. Этот файл - троян класса StartPage, он изменяет
стартовую страницу браузера на http://www.infocontainer.com
7. Начинает атаковать компьютеры, пытаяся соединиться с ними по порту
445. В коде эксплоита есть URL, с которого производится загрузка данного зловреда
Удаление вручную
Процесс не маскируется в памяти, лечение сводится у удалению файла WINDOWS\system32\acrmon32.exe при помощи отложенного удаления AVZ