Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 65536 байт. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleUpdate"="\<имя вредоноса>"

Деструктивная активность

После запуска троянец удаляет файл:

c:\avenger.txt

c:\windows\system32\drivers\etc\hosts

199.238.140.108 visanet.com.br
199.238.140.108 www.visanet.com.br
199.238.140.108 www.openbank.es
199.238.140.108 openbank.es
199.238.140.108 www.lacaixa.es
199.238.140.108 lacaixa.es
199.238.140.108 www.bancoreal.com.br
199.238.140.108 www.real.com.br
199.238.140.108 www.real.com.br
199.238.140.108 www.itau.com.br
199.238.140.108 itau.com.br
199.238.140.108 www.itaupersonnalite.com.br
199.238.140.108 itaupersonnalite.com.br
199.238.140.108 www.itauprivatebank.com.br
199.238.140.108 itauprivatebank.com.br
199.238.140.108 www.bb.com.br
199.238.140.108 bb.com.br
199.238.140.108 www.bb.gov.br
199.238.140.108 bb.gov.br
199.238.140.108 bradesco.com.br
199.238.140.108 www.bradesco.com.br
199.238.140.108 www.bradescoprime.com.br
199.238.140.108 bradescoprime.com.br
199.238.140.108 bradescojuridico.com.br
199.238.140.108 www.checktudo.com.br
199.238.140.108 checktudo.com.br
199.238.140.108 www.infoseg.gov.br
199.238.140.108 infoseg.gov.br
199.238.140.108 www.real.com.br
199.238.140.108 real.com.br
199.238.140.108 www.bradescojuridico.com.br
199.238.140.108 santander.com.br
199.238.140.108 www.santander.com.br
199.238.140.108 banespa.com.br
199.238.140.108 www.nossacaixa.com.br
199.238.140.108 nossacaixa.com.br
199.238.140.108 www.unibanco.com.br
199.238.140.108 unibanco.com.br
199.238.140.108 www.banespa.com.br
199.238.140.108 banespa.com.br
199.238.140.108 www.itauprivatebank.com.br
199.238.140.108 itauprivatebank.com.br
199.238.140.108 caixacatalunya.es
199.238.140.108 www.caixacatalunya.es
199.238.140.108 banesto.es
199.238.140.108 www.banesto.es
199.238.140.108 www.cajamadrid.es
199.238.140.108 cajamadrid.es
199.238.140.108 www.bbva.es
199.238.140.108 bbva.es
199.238.140.108 serasa.com.br
199.238.140.108 www.serasa.com.br
199.238.140.108 www.cam.es
199.238.140.108 cam.es

199.238.140.108 portal.lacaixa.es
199.238.140.108 www.banespa.com.br
199.238.140.108 www.caixa.com.br
199.238.140.108 caixa.com.br
199.238.140.108 www.caixaeconomicafederal.com.br
199.238.140.108 caixaeconomicafederal.com.br
199.238.140.108 www.cef.com.br
199.238.140.108 cef.com.br
199.238.140.108 www.caixa.gov.br
199.238.140.108 caixa.gov.br
199.238.140.108 www.caixaeconomica.com.br
199.238.140.108 caixaeconomica.com.br
199.238.140.108 www.caixaeconomica.gov.br
199.238.140.108 caixaeconomica.gov.br
199.238.140.108 www.cef.gov.br
199.238.140.108 www.caixaeconomicafederal.gov.br
199.238.140.108 caixaeconomicafederal.gov.br
199.238.140.108 cetelem.com.br
199.238.140.108 www.cetelem.com.br
199.238.140.108 citibank.com.br
199.238.140.108 www.citibank.com.br
199.238.140.108 www.pagamentodigital.com.br
199.238.140.108 pagamentodigital.com.br
199.238.140.108 www.cartaobndes.gov.br
199.238.140.108 cartaobndes.gov.br
199.238.140.108 americanas.com.br
199.238.140.108 www.americanas.com.br
199.238.140.108 americanas.com
199.238.140.108 www.americanas.com

http://www.paviperfil.pt/images/atual.txt
http://www.paviperfil.pt/images/atual4.gif

Загруженные файлы троянец сохраняет под следующими именами:

<WorkDir>\atual.txt
<WorkDir>\atual.exe

Также троянец скрывает окно с заголовком:

avenger - Bloco de notas

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "GoogleUpdate"="<WorkDir>\<имя вредоноса>"
   

4. Восстановить оригинальное содержимое файла:

   c:\windows\system32\drivers\etc\hosts

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
   #
   # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
   #
   # Этот файл содержит сопоставления IP-адресов именам узлов.
   # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
   # находиться в первом столбце, за ним должно следовать соответствующее имя.
   # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
   #
   # Кроме того, в некоторых строках могут быть вставлены комментарии 
   # (такие, как эта строка), они должны следовать за именем узла и отделяться
   # от него символом '#'.
   #
   # Например:
   #
   #      102.54.94.97     rhino.acme.com          # исходный сервер
   #       38.25.63.10     x.acme.com              # узел клиента x
   
   127.0.0.1       localhost
   

5. Удалить файлы:

   <WorkDir>\atual.txt
   <WorkDir>\atual.exe
   

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).