# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan.Win32.BHO.abo

## Зайцев Олег

Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда. 
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_") 
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll  и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие  (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

Удаление: Необходимо удалить компоненты зловреда при помощи BootCleaner учитывая конкретные имена файлов зловреда. Скрипт должен иметь примерно такой вид:


```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\avwa.dll');
 DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
 BC_ImportDeletedList;
 ExecuteSysClean;
BC_Activate;
 RebootWindows(true);
end.
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

что-то я не уверен, что скрипт сработает, может надёжнее?  : 


```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\avwa.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
 BC_ImportDeletedList;
 ExecuteSysClean;
 RebootWindows(true);
end.
```

----------


## Зайцев Олег

> что-то я не уверен, что скрипт сработает, может надёжнее? : 
> 
> 
> ```
> begin
>  SearchRootkit(true, true);
>  SetAVZGuardStatus(True);
>  DeleteFile('C:\WINDOWS\system32\avwa.dll');
>  DeleteFile('C:\WINDOWS\system32\drivers\ahwvwcrg.dat');
> ...


Как раз наоборот ... '\SystemRoot\system32\drivers\ahwvwcrg.dat' - так он прописан в реестре. Следовательно, автоматическая чистка гарантировано найдет и убъет ключ драйвера. А убивалка файлов автоматом вычислит правильный путь.

----------


## drongo

ясно  :Wink:  хотя скрипт мало кому поможет, сам же указал, меняеться он гад  :Wink:

----------


## XL

МММ... А активацию бутклинера в скрипте вверху специально отменили или все же должно быть так?



```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\avwa.dll');
 DeleteFile('\SystemRoot\system32\drivers\ahwvwcrg.dat');
 BC_ImportDeletedList;
 ExecuteSysClean;
BC_Activate;
 RebootWindows(true);
end.
```

----------


## Sergio F

Но как от него избавиться ,я так и не понял.
У меня установлен Антивирус Касперского 6 ,он находит этот вирус (обнаружено: троянская программа Trojan.Win32.BHO.abo Файл: C:\WINDOWS\system32\adpti.dll/PE_Patch.UPX/UPX )
,но лечить и удалить не может.
Как мне от него избавиться,подскажите тупому юзеру, просто я ваш слэнг не совсем понимаю.Нужно обязательно скачивать Бутклинер,и если я его скачаю,не будет ли он конфликтовать с моим Касперским?
Заранее благодарю!

----------


## Макcим

Обратитесь в раздел "Помогите!", но сначала прочитайте правила.

----------

