Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 751725 байт. Написана на Delphi.
Деструктивная активность
После активации троянец соединяется с одним из следующих серверов злоумышленника:cache.dyndns.tv
docs.dyndns.org
dns.dellsupports.com
krb.dellsupports.com
На сервер злоумышленника передается следующая информация: - имя компьютера;
- IP-адрес зараженной системы;
- версия и название операционной системы;
- список запущенных процессов в системе.
%Work%\log.datТроянец копирует свое тело в следующие каталоги клиента терминального сервера (Terminal Server Client):
\\tsclient\%WinDir%\SysWoW64\<оригинальное имя троянской программы>.dll
\\tsclient\%System%\<оригинальное имя троянской программы>.dll
Троянец создает SQL таблицу с именем "siweb3file", в которой хранит команды для запуска. При помощи данных команд троянец создает задание с именем "abc82", которое позволяет получить злоумышленнику доступ к командному интерпретатору на зараженной системе. Список команд может обновляется с серверов злоумышленника. На момент создания описания вышеуказанные сервера не работали. Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
