Trojan.Win32.Vilsel.ato

Opisi virusa, 09.07.2010, 00:50 AM

Trojan.Win32.Vilsel.ato

Tehnički detalji - Trojan.Win32.Vilsel.ato je dizajniran tako da instalira i pokreće druge maliciozne programe na zaraženom računaru bez korisnikovog znanja ili dozvole. Reč je o Windows PE EXE fajlu, veličine 1083904 bajta. Kompresovan je nepoznatim pakerom, a veličina nekompresovanog fajla iznosi 2600 KB.

Payload

Ovaj trojanac onemogućava rad firewall-a, menjajući vrednost sledećeg registry key:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] EnableFirewall=0

Dodatno, on pokušava da obustavi procese koji sadrže jedan od znakova u svojim nazivima:

AvSynMgr
naPrdMgr
vshwin32
McShield
mcshield
Mcdetect
mcagent
mcdash
mcvsshld
mcvsescn
mctskshd
MpfService
mcvs
opscan
ccapp
norton
SAVScan
ccApp
ccEvtMgr
ISSVC
SBServ
symlcsvc
SPBBCSvc
nod32krn
navapsvc
nava
nisum
nisserv
navwnt
AvpM
avpm
klswd
kav
kavsc avp.
AVGUARD
avguard
AVGNT
avgnt
sched
pavsrv51
AVENGINE
PNMSRV
PsImSvc
SRVLOAD
APVXDWIN
PavFnSvr
TPSrv
Inicio
pavcl
ntrtscan
OfcPfwSvc
PccNTMon
pccntupd
PNTIOMON
schupd
scan
fprot
avwin
ave32
isafe
tmntsrv
fsav32
avkwctl
ashServ
dvpapi
tsc
webtrap
TMOAgent
TeaTimer
sdhelper
Spybot
spybot
MSASCui
guard
ewido
avgas
avgemc
gcas
sunas
spys
ActiveDetection
blackd
fsdfwd
smc
zlclient
persfw
efpeadm
fsguiexe
kpf4gui
pccpfw

msscli
Tmas
swdoctor
spyc
ccsetmgr
ctagent
vsmon
webscan
dbgmgr
avp32
bdss
xcommsvr
avgamsvr
avfwsvc
avgupsvc
nvcpl
zonealarm
zlclient
scan
virus
firewall
protect
secure
optimize
nod32
mpf
agent
drweb
alert
avscan
kpf4
msblast
cfp
zapro
zonea
ave32
avp.
_av

Kada je pokrenut Trojanac je registrovan na sajtu koji pripada sajber-kriminalcima, otvarajući sledeći link:

http://fc.web********.de/as_noscript.php?name=load3

Program download-uje fajl sa sledećeg linka:

http://fc.web********.de/as_noscript.php?name=rn

Tako preuzet fajl se snima na sledeći način:

%Temp%\.tmp

gde može imati jedan od sledećih oblika:

prun
rasesnet wavvsnet winvsnet xpre

Nakon što je uspešno download-ovan, postaje izvršan i Trojanac briše istoriju linkova u Internet Explore i time završava delovanje.



Uputstvo za uklanjanje

Ako vaš kompjuter nema ažuriran antivirusni program ili uopšte nema instaliran antivirusni softver, da biste uklonili Trojan.Win32.Vilsel.ato sa svog računara sledite sledeći postupak:

  1. Koristite Task Manager kako biste stopirali rad štetnog programa.

  2. Obrišite originalni fajl Trojanca (mesto na kome se on nalazi zavisi od toga kako je program dospeo na zaraženi računar)

  3. Obrišite sve iz temporary directory %Temp%.

  4. Vratite na početno stanje podešavanja za Firewall (restore)

  5. Ažurirajte svoju antivirusnu bazu podataka i skenirajte kompjuter (možete preuzeti probnu (trial) verziju Kaspersky Antivirus).





Preuzeto sa




Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje