RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Java.Agent.kj
| Время детектирования | 18 апр 2011 14:57 MSK |
| Время выпуска обновления | 18 апр 2011 21:23 MSK |
| Описание опубликовано | 26 сен 2011 13:48 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3918 байт.
MD5: fdb04f62d1f571c3f45dac96c5f1803f
SHA1: e45c78c19a9907589c7b29273cafb7f4e3dda39d
Деструктивная активность
Данный класс является одним из файлов вредоносного JAR-архива. При выполнении кода класса происходит проверка наличия файла с именем «equilibrium». Если файл существует, троянец завершает свою работу. В противном случае троянец получает ссылку в качестве параметра при запуске. После успешного получения ссылки троянец загружает по ней файл из сети Интернет. Данный файл сохраняется во временном каталоге текущего пользователя под случайным именем состоящим из восьми букв и цифр латинского алфавита и разрешением «.exe»:
%Temp%\<rnd>.exeгде <rnd> – восемь случайных букв и цифр латинского алфавита.
Далее троянец запускает скачанный файл.
Если скачанный файл является динамически подключаемой библиотекой троянец регистрирует её при помощи утилиты «regsvr32», выполняя следующую команду:
regsvr32 -s "%Temp%\<rnd>.exe"
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Отменить регистрацию скачанного файла (в случае если скачанный файл является динамически подключаемой библиотекой):
regsvr32 -u "%Temp%\<rnd>.exe"
- Удалить скачанный троянцем файл:
%Temp%\<rnd>.exe
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей