Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 22688 байт.

Деструктивная активность

После запуска троянец создает в каталоге хранения временных файлов пользователя BAT – файл:

%Temp%\~AR<rnd>.bat

где rnd – случайная цифровая последовательность

при помощи которого, производит удаление из системного каталога файла:

%System%\verclsid.exe

Затем копирует свой исполняемый файл под следующим именем:

%WinDir%\Fonts\MSar12D40003exe.ttf

Устанавливает файлу атрибуты "Скрытый" и "Системный ". Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "12D4-B0CF". Также пытается найти и завершить процесс с именем "zhengtu.dat". Далее вредонос извлекает из своего тела в системный каталог библиотеку с именем:

%System%\ss12D40003dll.dll

Данный файл имеет размер 456192 байта. Устанавливает файлу атрибуты "Скрытый", "Системный ", "Архивный". Для автоматического запуска библиотеки при следующем старте Windows, троянец добавляет ссылку в ключ автозапуска системного реестра:

В завершении, троянец создает в каталоге хранения временных файлов пользователя еще один BAT – файл:

%Temp%\~AR<rnd>.bat

после запуска которого происходит самоудаление оригинального файла троянца.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить параметр в ключе реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "AppInit_DLLs"="ss12D40003dll.dll"
2. Удалить файлы:

   %WinDir%\Fonts\MSar12D40003exe.ttf
   %System%\ss12D40003dll.dll
   %Temp%\~AR<rnd>.bat

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).