Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Dropper.Win32.Agent.ayqa

Trojan-Dropper.Win32.Agent.ayqa

Время детектирования 31 июл 2009 21:12 MSK
Время выпуска обновления 01 авг 2009 08:14 MSK
Описание опубликовано 22 сен 2009 16:46 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие вредоносные программы и запускающая их на выполнение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 30224 байта. Упакована при помощи UPX. Распакованный размер — около 48 КБ. Написана на C++.


Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL в системный каталог Windows под именем "BbXhGSfTsBbxT83aR.dll":

%System%\BbXhGSfTsBbxT83aR.dll

Данный файл имеет размер 23552 байта и детектируется Антивирусом Касперского, как Trojan-GameThief.Win32.Magania.bpim.

Далее файлу присваивается атрибут "скрытый".

При регистрации библиотеки добавляются следующие ключи системного реестра:

[HKCR\CLSID\{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}\InprocServer32]
"(default)" = "%Program Files%\Internet Explorer\DoboMako.lsp "
"ThreadingModel" = "Apartment"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}

Троянец извлекает из своего тела файл в каталог поставляемых шрифтов вместе с Windows:

%WinDir%\Fonts\FRSUApxKxh4aqhh4TnMqpe.Ttf

Данный файл имеет размер 1750. Содержит в зашифрованном виде MD5 хеши.

Далее происходит вызов библиотечной функции "JUFndB4pARSJ", которая производит поиск, и завершение процессов хеши которых совпадают со значениями в файле "%WinDir%\Fonts\FRSUApxKxh4aqhh4TnMqpe.Ttf".

Извлеченная библиотека подгружается во все процессы в системе.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить вредоносный процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы: 
    %System%\BbXhGSfTsBbxT83aR.dll
%WinDir%\Fonts\FRSUApxKxh4aqhh4TnMqpe.Ttf
  4. Удалить ключи (системного реестра):
    [HKCR\CLSID\{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}\InprocServer32]
    "(default)" = "%Program Files%\Internet Explorer\DoboMako.lsp "
    "ThreadingModel" = "Apartment"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {7A6359F5-6882-4FE9-B1CB-3130860BE4F3}
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Dropper

Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

  • скрытной инсталляции троянских программ и вирусов;
  • защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Другие модификации
Trojan-Dropper.Win32.Agent.aaj
Trojan-Dropper.Win32.Agent.adi
Trojan-Dropper.Win32.Agent.aejs
Trojan-Dropper.Win32.Agent.aflx
Trojan-Dropper.Win32.Agent.aga
Trojan-Dropper.Win32.Agent.agq
Trojan-Dropper.Win32.Agent.agqq
Trojan-Dropper.Win32.Agent.agya
Trojan-Dropper.Win32.Agent.aiad
Trojan-Dropper.Win32.Agent.aiar
Trojan-Dropper.Win32.Agent.ajtw
Trojan-Dropper.Win32.Agent.akap
Trojan-Dropper.Win32.Agent.albv
Trojan-Dropper.Win32.Agent.aptu
Trojan-Dropper.Win32.Agent.ate
Trojan-Dropper.Win32.Agent.athk
Trojan-Dropper.Win32.Agent.awwv
Trojan-Dropper.Win32.Agent.ayft
Trojan-Dropper.Win32.Agent.bc
Trojan-Dropper.Win32.Agent.bcyx
Trojan-Dropper.Win32.Agent.bgn
Trojan-Dropper.Win32.Agent.bh
Trojan-Dropper.Win32.Agent.bot
Trojan-Dropper.Win32.Agent.bumn
Trojan-Dropper.Win32.Agent.buxt
Trojan-Dropper.Win32.Agent.bv
Trojan-Dropper.Win32.Agent.bvgj
Trojan-Dropper.Win32.Agent.bwlr
Trojan-Dropper.Win32.Agent.cbjo
Trojan-Dropper.Win32.Agent.cckn
Trojan-Dropper.Win32.Agent.cdqo
Trojan-Dropper.Win32.Agent.cegg
Trojan-Dropper.Win32.Agent.ceqq
Trojan-Dropper.Win32.Agent.cfrh
Trojan-Dropper.Win32.Agent.cmds
Trojan-Dropper.Win32.Agent.cnyq
Trojan-Dropper.Win32.Agent.cpyu
Trojan-Dropper.Win32.Agent.cqog
Trojan-Dropper.Win32.Agent.crbk
Trojan-Dropper.Win32.Agent.csrb
Trojan-Dropper.Win32.Agent.csxg
Trojan-Dropper.Win32.Agent.cvva
Trojan-Dropper.Win32.Agent.cwsh
Trojan-Dropper.Win32.Agent.cwsw
Trojan-Dropper.Win32.Agent.cwzh
Trojan-Dropper.Win32.Agent.cxdv
Trojan-Dropper.Win32.Agent.czms
Trojan-Dropper.Win32.Agent.czxz
Trojan-Dropper.Win32.Agent.dcbd
Trojan-Dropper.Win32.Agent.delm
Trojan-Dropper.Win32.Agent.dfqk
Trojan-Dropper.Win32.Agent.dnvu
Trojan-Dropper.Win32.Agent.dvyh
Trojan-Dropper.Win32.Agent.dwis
Trojan-Dropper.Win32.Agent.dwpo
Trojan-Dropper.Win32.Agent.ezqm
Trojan-Dropper.Win32.Agent.lg
Trojan-Dropper.Win32.Agent.mc
Trojan-Dropper.Win32.Agent.vac
Trojan-Dropper.Win32.Agent.vw
Trojan-Dropper.Win32.Agent.xsd
Trojan-Dropper.Win32.Agent.zlo

Другие названия

Trojan-Dropper.Win32.Agent.ayqa («Лаборатория Касперского») также известен как:

  • Trojan: Generic Dropper.jr (McAfee)
  • Mal/Generic-L (Sophos)
  • Trojan.Crypt-215 (ClamAV)
  • Trj/QQPass.BTL (Panda)
  • W32/OnlineGames.CA.gen!Eldorado (FPROT)
  • PWS:Win32/OnLineGames.NZ (MS(OneCare))
  • Trojan.PWS.Wsgame.12116 (DrWeb)
  • Trojan.Agent.ANQC (BitDef7)
  • Trojan.DR.Agent!lvVSPS8UyD8 (VirusBuster)
  • Win32:Agent-ACMH [Drp] (AVAST)
  • Trojan-GameThief.Win32.Magania (Ikarus)
  • Dropper.Agent.NVV (AVG)
  • TR/Hijacker.Gen (AVIRA)
  • Suspicious.MH690 (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Trojan.PSW.Win32.GameOnline.egd (Rising)
  • TSPY_LOLYDA.SMC (TrendMicro)
  • Trojan.DR.Agent!lvVSPS8UyD8 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск