Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Голосование за лучший ответ
Никто и Нигде
(1682)
15 лет назад
Если serviCes то С: \WINDOWS\system32
Если serviSes то:
Технические детали
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл) . Имеет размер 3072 байта. Написана на языке Assembler.
Инсталляция
После запуска троянец регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMedia"="имя_файла_троянца"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает уникальный идентификатор «0b.bot» для определения своего присутствия в системе.
Деструктивная активность
Троянская программа ожидает подключения к интернету, соединяется с сервером 245.47.***.216 по 2514 порту (порт и адрес сервера в различных версиях данного троянца могут варьироваться) . В ответ от сервера получает другой вредоносный код.
После чего троянец запускает процесс %system%\servises.exe, внедряет в него полученный вредоносный код и передает на него управление.
Рекомендации по удалению
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
Удалить следующее значение ключа реестра:
Если serviSes то:
Технические детали
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл) . Имеет размер 3072 байта. Написана на языке Assembler.
Инсталляция
После запуска троянец регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WinMedia"="имя_файла_троянца"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает уникальный идентификатор «0b.bot» для определения своего присутствия в системе.
Деструктивная активность
Троянская программа ожидает подключения к интернету, соединяется с сервером 245.47.***.216 по 2514 порту (порт и адрес сервера в различных версиях данного троянца могут варьироваться) . В ответ от сервера получает другой вредоносный код.
После чего троянец запускает процесс %system%\servises.exe, внедряет в него полученный вредоносный код и передает на него управление.
Рекомендации по удалению
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
Удалить следующее значение ключа реестра:
Похожие вопросы