Недавно я заметил, что «что-то» захватывает результаты поиска Google (в Firefox!) и поэтому я решил запустить сканирование Malwarebytes.
Конечно же, он нашел Trojan.Agent со следующей информацией:
Зараженные значения реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AsyncMapLite (Trojan.Agent)
-> Value: AsyncMapLite
-> Data: rundll32.exe "C:\Users\WinWin\AppData\Local\Nativeobjdrv\AsyncMapLite.dll",rasGLLite lanAuthenticationlib
Модули памяти заражены:
c:\Users\WinWin\AppData\Local\nativeobjdrv\asyncmaplite.dll (Trojan.Agent)
Файлы заражены:
c:\Users\WinWin\AppData\Local\nativeobjdrv\asyncmaplite.dll (Trojan.Agent)
Ну, я погуглил asyncmaplite и ничего не смог найти по этому поводу.
Итак, я подозреваю, что имя совершенно не имеет значения и может быть мутировавшим ... Но так как Malwarebytes действительно нашел это, должна быть некоторая информация об этом где-нибудь.
Любая идея, что это за тип троянца и как я могу найти больше информации о нем?
ОБНОВЛЕНИЕ (19 сентября): после некоторого отслеживания моей системы этот троян.Агент снова появился - с другим именем: iecrtlog . Теперь ясно, что название бессмысленно, так как оно постоянно мутирует.
Но ... даже после очистки MBAM он оставляет "сувенир" в реестре:
[HKEY_CURRENT_USER\Software\Nativeobjdrv]
"gFtOQZs"="TeL90WPbzngPabEduP5DI0"
"lgT"=dword:045371ea
"hUV"=dword:00004e8d
А также:
[HKEY_CURRENT_USER\Software\iecrtlog]
"mUuwFxgJ"="TeL90WPbzngPabEduP5DI0"
"xifo"=dword:0487c61a
"imRTPr"=dword:0000526d
Что еще раз показывает, что все в этом трояне продолжает изменяться, за исключением строки подписи "TeL90WPbzngPabEduP5DI0" .
Интересно.