RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Microjoin.aj
| Время детектирования | 16 дек 2005 08:43 MSK |
| Время выпуска обновления | 16 дек 2005 08:43 MSK |
| Описание опубликовано | 01 июн 2006 18:14 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, созданная для скрытой установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 10 КБ. Встречаются иные версии данного троянца, размер которых существенно варьируется.Деструктивная активность
После запуска троянская программа создает в корневом каталоге Windows файл с именем refresh.html и открывает его в окне браузера.
Также при запуске троянец скрытно устанавливает в системный каталог Windows файлы со следующими именами:
- %System%\ldr<3 произвольные цифры>.dll (6144 байта)
- %System%\run<3 произвольные цифры>.exe (8242 байта)
Созданные файлы детектируются Антивирусом Касперского, как Trojan-Downloader.Win32.Small.ccm.
Затем данные файлы запускаются на исполнение. При этом оригинальный запускаемый файл удаляется.
Также троянец создает следующую запись в системном реестре:
"tiwc"="%System%\run<3 произвольные цифры>.exe dummy"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Рекомендации по удалению
Для ручного удаления программы следует выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
- Удалить созданные троянцем файлы:
%System%\ldr<3 произвольные цифры>.dll
%System%\run<3 произвольные цифры>.exe - Удалить из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"tiwc"="%System%\run<3 произвольные цифры>.exe dummy" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan.
Win32. Microjoin. aj («Лаборатория Касперского») - Trojan:
Generic Dropper (McAfee) - Mal/Dropper-C (Sophos)
- Trojan.
Dropper. Joiner. AJ (ClamAV) - Heuristic.
WinPE-Statistical (Panda) - W32/Dropper.
UPG (FPROT) - TrojanDropper:
Win32/Microjoin. gen!B (MS(OneCare)) - Trojan.
MulDrop. 9434 (DrWeb) - Win32/TrojanDropper.
Microjoin. CU trojan (Nod32) - Gen:
Trojan. Heur. PT. ciX@aSjbEOoi (BitDef7) - Trojan.
DR. Microjoin. Gen (VirusBuster) - Win32:
Microjoin-DE [Trj] (AVAST) - Trojan-Dropper.
Win32. Microjoin (Ikarus) - Dropper.
Generic. JUG (AVG) - TR/PSW.
LdPinch. jm1 (AVIRA) - Packed.
Generic. 166 (NAV) - W32/LdPinch.
ZNK (Norman) - Backdoor.
Win32. SdBot. xd (Rising) - TROJ_Generic.
DIS (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей