Троянская программа, предназначенная для удаленного управления злоумышленником пораженным компьютером. Является приложением Windows (PE EXE-файл). Имеет размер 258048 байт. Упакована ASPack. Распакованный размер – около 673 КБ. Написана на Delphi.

Троянская программа загружает файл по следующему URL:

http://fatalsoft.tamb.ru/action.act

и сохраняет его под именем action.act в текущую папку.

В этом файле содержится команда. Возможны 3 команды: Normal, Pause, Delete.

а.Normal

  1. Добавляется ключ автозапуска системного реестра: 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"FSStarter" = "fsstarter.exe"
  2. Загружает файлы по следующим URL: 
    http://smart-ip.net/_res/userbar/blue-bar.gif

http://www.ip-ping.ru/informer.gif

    Они содержат информацию об IP адресе пользователя.

  3. Загружает файл по URL: 
    http://fatalsoft.tamb.ru/fslinklist.lst

    в котором находятся ссылки вида:

    http://www.depositfiles.com/ru/files/

    Троян загружает их, затем выполняет.

  4. Загружает файл по URL 
    http://fatalsoft.tamb.ru/fsreflist.lst

    в котором находятся URL куда троян загружает файл fsreport.rep, содержащий blue-bar.gif и informer.gif.

b.Pause

Троян ожидает указанное количество миллисекунд, затем загружает файл action.act заново.

c. Delete

  1. Удаляет файлы (из текущей папки): 
    blue-bar.gif,
informer.gif,
fsreport.rep,
FSManager.exe,
fsstarter.exe,
fsversion.ver.
  2. Удаляет ключ системного реестра: 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

“FSStarter”.
  3. Добавляет в ключ автозапуска системного реестра 
    Software\Microsoft\Windows\CurrentVersion\RunOnce

“Selfdel9” = command.com /C del

“SelfdelNT” = cmd /C del

    После выполнения команды троянец пытается загрузить следующую команду.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить следующие параметры в ключах реестра: 
    [Software\Microsoft\Windows\CurrentVersion\RunOnce]
“Selfdel9x”
“SelfdelNT”
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“FSStarter”
  3. Произвести полную проверку компьютера Антивирусом

Удачи Вам, и не заражайтесь!