Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 5632 байта. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

C:\Program Files\Common Files\seria.exe

Затем созданная копия запускается на выполнение.
Для удаления своего оригинального файла после завершения его работы троянец создает в каталоге хранения временных файлов текущего пользователя "%Temp%" сценарий командного интерпретатора "Del.bat" следующего содержания:
@ping -n 3 127.0.0.1>nul
@del /F /Q "<полный путь к оригинальному файлу
троянца>"
@del /F /Q "%Temp%\Del.bat"
@exit


Далее созданный сценарий запускается на выполнение. При этом сам файл сценария также удаляется.



Деструктивная активность

После запуска троянец выполняет следующие действия:

- для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
mutex_reboot_down
mutex_cpa_.la


- Перемещает свое тело в каталог Автозагрузка текущего пользователя, что дает троянцу возможность автоматически запускаться при каждом следующем старте системы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\seria.exe

- Информирует злоумышленника об успешном заражении системы, открывая ссылку:
http://vip.c***e.cn:81/admin/count.php?isOnline=1

- Останавливает службу брандмауэра Windows, выполняя команду: net stop sharedaccess

- Загружает с сервера злоумышленника список URL для загрузки файлов на зараженный компьютер по следующей ссылке:
http://list.c***e.cn:6668/Down/list.txt

- Загруженные данные сохраняются в файле:
c:\Program Files\nowlist2.dat

- Считывает ссылки из "nowlist2.dat" и загружает по ним файлы. Файлы сохраняются под следующими именами:
d:\WinsUp\kb75818<rnd>.exe
d:\WinsUp\kb75818<rnd>.exe

где <rnd> – случайные числа.

После успешной загрузки файлы запускаются на выполнение.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач: http://support.kaspersky.ru/faq/?qid=208635583 завершить процесс "seria.exe".

2. Удалить файлы:
C:\Program Files\Common Files\seria.exe
%ALLUSERSPROFILE%\Start Menu\Programs\
Startup\seria.exe


3. Удалить каталог и все его содержимое:
d:\WinsUp

4. Очистить каталог Temporary Internet Files: http://support.kaspersky.ru/viruses/...?qid=180593120, который может содержать инфицированные файлы.

5.Произвести полную проверку компьютера Антивирусом ПО с обновленными базами.

Источник: http://www.securelist.com/ru/descrip...n32.Agent.eigh