Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 94208 байт. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела следующий файл:

%CommonProgramFiles%\msado320.tlb

Файл имеет размер 69632 байта

Для извлеченного файла троянец устанавливает дату создания и модификации аналогичную как для каталога

%CommonProgramFiles%\

Далее троянец регистрирует в системе извлеченную библиотеку, для чего создает запись в системном реестре Windows:
[HKLM\System\CurrentControlSet\Services\
lanmanserver\parameters]
"ServiceDll"= "%CommonProgramFiles%\msado320.tlb"




После этого троянец перемещает свое оригинальное тело во временный каталог Windows и выполняет для него отложенное удаление.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).


2. Удалить файлы:
%CommonProgramFiles%\msado320.tlb

3. Восстановить значение параметра "ServiceDll" в ключе системного реестра, которое имеет следующий вид (как работать с реестром? http://support.kaspersky.ru/faq/?qid=208635566):
[HKLM\System\CurrentControlSet\Services\
lanmanserver\parameters]
"ServiceDll"= "%System%\srvsvc.dll"


4. Произвести полную проверку компьютера Антивирусом ПО с обновленными базами.

Источник: http://www.securelist.com/ru/descrip...in32.Diple.ple