Ок...ок
Пусть с Локером я загнул но функционал Downloader в нем присутствует.
После заражения системы, троян соединятся с сервером, с которого загружает зашифрованный конфигурационный файл и некоторые дополнительные модули.
Microsoft TrojanDownloader:Win32/Carberp.A
NOD32 Win32/TrojanDownloader.Carberp.AF
Следует заметить последние версии трояна используют буткит составляющую для сокрытия себя в системе (инжект идет напрямую в svchost.exe или explorer.exe - по косвенным признакам можно определить что Аваст постоянно выдает предупреждения url.mal), поэтому для лечения нужно попробовать:
- Сканирование на руткиты в Avast
- Сканирование утилитой aswMBR
- Сканирование утилитой TDSSKiller
Да...этот семпл скрытый, в логе HJ его не было видно, мало того он скрывает все файлы на диске C:/ , я просил пользователя просканить TDSSKiller, но утилита ни чего не нашла. В общем интересный семпл.