Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Downloader.Win32.Agent.zf

Trojan-Downloader.Win32.Agent.zf

Время детектирования	06 июн 2006 14:43 MSK
Время выпуска обновления	13 июн 2007 17:31 MSK
Описание опубликовано	06 июн 2006 14:43 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Резидентная троянская программа, написана на Microsoft Visual C++. Является приложением Windows (PE EXE-файл). Размер файла — 7013 байт. Встречаются версии данного троянца, размер которых существенно варьируется.

Деструктивная активность

После запуска троянец копирует себя в корневой каталог Windows с именем SERVICES.EXE и запускает свою копию на исполнение.

%Windir%\SERVICES.EXE

После этого оригинальный запускаемый файл удаляется.

Также троянец создает следующие ключи в системном реестре:

[HKLM\Software\Microsoft\Serenta]
[HKLM\Software\Microsoft\Serenta\Run]

Запущенный троянский процесс SERVICES.EXE в отдельном потоке постоянно создает следующие значения в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SERVICES.EXE"="%Windir%\SERVICES.EXE"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\SERVICES.EXE"
"Userinit"="C:\WINDOWS\system32\userinit.exe,,%Windir%\SERVICES.EXE"

Таким образом при каждой следующей загрузке Windows автоматически запустит файл троянца.

Завершить троянский процесс не представляется возможным, так как Windows считает его своим системным процессом (%system%\services.exe — вследствие идентичности имени троянца с оригиналом, также запущенным в системе).

Троянская программа также имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя.

Рекомендации по удалению

Для ручного удаления программы следует выполнить следующие действия:

Создать файл c:\rescue.bat, содержащий такие строки:
@echo off
:try
del C:\WINDOWS\SERVICES.EXE
if exist C:\WINDOWS\SERVICES.EXE goto try
Изменить значение следующего ключа реестра:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.exe"
На:
"ImagePath"="C:\rescue.bat"
Таким образом, вместо системной службы Event Log запустится созданный файл rescue.bat
Перезагрузить компьютер. После перезагрузки системы троянец будет удален.
Восстановить прежнее значение ImagePath:
[HKLM\System\CurrentControlSet\Services\Eventlog]
"ImagePath"="%SystemRoot%\system32\services.exe"
Удалить следующие ссылки в реестре:
[HKLM\Software\Microsoft\Serenta]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SERVICES.EXE"="%Windir%\SERVICES.EXE"
Изменить значения следующих параметров:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\SERVICES.EXE"
На:
"Shell"="Explorer.exe"

"Userinit"="C:\WINDOWS\system32\userinit.exe,,%Windir%\SERVICES.EXE"
На:
"Userinit"="C:\WINDOWS\system32\userinit.exe"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.Agent.ac

Trojan-Downloader.Win32.Agent.ahoe

Trojan-Downloader.Win32.Agent.alr

Trojan-Downloader.Win32.Agent.bcki

Trojan-Downloader.Win32.Agent.bdxm

Trojan-Downloader.Win32.Agent.bfjx

Trojan-Downloader.Win32.Agent.bg

Trojan-Downloader.Win32.Agent.bgol

Trojan-Downloader.Win32.Agent.bhhu

Trojan-Downloader.Win32.Agent.bl

Trojan-Downloader.Win32.Agent.bmc

Trojan-Downloader.Win32.Agent.bqpy

Trojan-Downloader.Win32.Agent.brit

Trojan-Downloader.Win32.Agent.bvz

Trojan-Downloader.Win32.Agent.bxpa

Trojan-Downloader.Win32.Agent.capa

Trojan-Downloader.Win32.Agent.cfns

Trojan-Downloader.Win32.Agent.clbm

Trojan-Downloader.Win32.Agent.cmrv

Trojan-Downloader.Win32.Agent.cpcc

Trojan-Downloader.Win32.Agent.cpnc

Trojan-Downloader.Win32.Agent.cpqx

Trojan-Downloader.Win32.Agent.cqdn

Trojan-Downloader.Win32.Agent.csfm

Trojan-Downloader.Win32.Agent.cvbv

Trojan-Downloader.Win32.Agent.cvbx

Trojan-Downloader.Win32.Agent.cvha

Trojan-Downloader.Win32.Agent.cvow

Trojan-Downloader.Win32.Agent.cvpq

Trojan-Downloader.Win32.Agent.cwen

Trojan-Downloader.Win32.Agent.cwlb

Trojan-Downloader.Win32.Agent.dbll

Trojan-Downloader.Win32.Agent.dilt

Trojan-Downloader.Win32.Agent.dkpv

Trojan-Downloader.Win32.Agent.dldj

Trojan-Downloader.Win32.Agent.dldk

Trojan-Downloader.Win32.Agent.dlev

Trojan-Downloader.Win32.Agent.dlyf

Trojan-Downloader.Win32.Agent.dmya

Trojan-Downloader.Win32.Agent.dotv

Trojan-Downloader.Win32.Agent.doxj

Trojan-Downloader.Win32.Agent.dxqs

Trojan-Downloader.Win32.Agent.eakq

Trojan-Downloader.Win32.Agent.ecwi

Trojan-Downloader.Win32.Agent.ed

Trojan-Downloader.Win32.Agent.eed

Trojan-Downloader.Win32.Agent.eesv

Trojan-Downloader.Win32.Agent.efce

Trojan-Downloader.Win32.Agent.efep

Trojan-Downloader.Win32.Agent.effm

Trojan-Downloader.Win32.Agent.efgz

Trojan-Downloader.Win32.Agent.efoa

Trojan-Downloader.Win32.Agent.efuq

Trojan-Downloader.Win32.Agent.ehcj

Trojan-Downloader.Win32.Agent.ehfk

Trojan-Downloader.Win32.Agent.ejui

Trojan-Downloader.Win32.Agent.ekbl

Trojan-Downloader.Win32.Agent.eldb

Trojan-Downloader.Win32.Agent.elej

Trojan-Downloader.Win32.Agent.eljy

Trojan-Downloader.Win32.Agent.elrc

Trojan-Downloader.Win32.Agent.emi

Trojan-Downloader.Win32.Agent.fdi

Trojan-Downloader.Win32.Agent.fk

Trojan-Downloader.Win32.Agent.flkh

Trojan-Downloader.Win32.Agent.flnw

Trojan-Downloader.Win32.Agent.fpp

Trojan-Downloader.Win32.Agent.fqbf

Trojan-Downloader.Win32.Agent.fs

Trojan-Downloader.Win32.Agent.fuzq

Trojan-Downloader.Win32.Agent.fvcq

Trojan-Downloader.Win32.Agent.fwcp

Trojan-Downloader.Win32.Agent.gdmw

Trojan-Downloader.Win32.Agent.gfew

Trojan-Downloader.Win32.Agent.gfpt

Trojan-Downloader.Win32.Agent.gknt

Trojan-Downloader.Win32.Agent.gxvs

Trojan-Downloader.Win32.Agent.jc

Trojan-Downloader.Win32.Agent.kr

Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.pj

Trojan-Downloader.Win32.Agent.qlh

Trojan-Downloader.Win32.Agent.rs

Trojan-Downloader.Win32.Agent.td

Trojan-Downloader.Win32.Agent.teqa

Trojan-Downloader.Win32.Agent.tuc

Trojan-Downloader.Win32.Agent.uj

Другие названия

Trojan-Downloader.Win32.Agent.zf («Лаборатория Касперского») также известен как:

Trojan-Downloader.Win32.Banload.alw («Лаборатория Касперского»)
Trojan: Downloader-VC (McAfee)
Troj/Agent-ZF (Sophos)
Trojan.Downloader.Agent-265 (ClamAV)
Trj/Downloader.GEH (Panda)
W32/NewMalware-NetWatcher!Eldorado (FPROT)
TrojanDownloader:Win32/Small.BAF (MS(OneCare))
Trojan.StartPage.1115 (DrWeb)
Win32/TrojanDownloader.Agent.ZF trojan (Nod32)
Trojan.Downloader.Small.AAOT (BitDef7)
Trojan.DL.Harnig!MZ/jOcVrWJY (VirusBuster)
Win32:Agent-EY [Trj] (AVAST)
Trojan-Dropper.Agent (Ikarus)
Downloader.Agent.AUR (AVG)
TR/Crypt.FSPM.Gen (AVIRA)
Downloader (NAV)
Suspicious_F.gen (Norman)
TROJ_AGENT.DK (TrendMicro)
Trojan.DL.Harnig!MZ/jOcVrWJY (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com