RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Adload.m
| Время детектирования | 23 янв 2006 17:40 MSK |
| Время выпуска обновления | 23 янв 2006 17:40 MSK |
| Описание опубликовано | 17 мар 2006 18:50 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа-загрузчик. Без ведома пользователя скачивает из Интернета программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер около 7500 байт, упакована NsPack, размер распакованного файла — около 37 КБ. Написана на языке Ассемблер.
Деструктивная активность
При запуске программа создает поток для работы с брандмауэром ОС Windows, который утвердительно отвечает на запросы брандмауэра о разрешении сетевой активности для троянского приложения. Поток постоянно сканирует систему в поиске окон содержащих в своем заголовке такие строки:
Hidden Process Requests Network Access
Если такие окна существуют, программа имитирует нажатие мышки на кнопку «OK», которая размещена на этих окнах.
Так же программа ищет в системе окно с заголовком:
Если находит, то имитирует нажатие на кнопку «Unblock», размещенную на этом окне.
Так же если в системе существует окно с заголовком:
Программа имитирует выбор в этом окне опции «Allow all activities for this application» и нажатие на кнопку «OK».
После этого поток ищет окно с заголовком «PermissionDlg», имитирует выбор в этом окне опции «Remember this answer the next time I use this program» и нажатие на кнопку «Yes» в этом окне.
Кроме этого троянец выполняет следующие действия:
Cоздает следующий параметр в ключе системного реестра Windows:
"adv579"="adv579"
В различных вариантах данного троянца значение указанного параметра может быть другим.
Пытается скрыть свой процесс из списка процессов с помощью вызова скрытой функции ОС Windows 98 — RegisterServiceProcess.
Ждет соединения с интернетом, после чего загружает файл, находящийся по адресу:
и сохраняет его в каталог %WinDir%/uniq/.
Далее троянец загружает из интернета на компьютер пользователя следующие файлы:
http://tool***dollars.biz/progs/country.php
http://tool***dollars.biz/progs/it.txt
http://tool***dollars.biz/progs/secure32.php
http://tool***dollars.biz/progs/paytime.txt
http://tool***dollars.biz/progs/toolbar.txt
http://tool***dollars.biz/progs/tool1.txt
http://tool***dollars.biz/progs/tool2.txt
http://tool***dollars.biz/progs/tool3.txt
http://tool***dollars.biz/progs/tool4.txt
http://tool***dollars.biz/progs/tool5.txt
http://tool***dollars.biz/progs/ms1.txt
http://tool***dollars.biz/progs/hosts.txt
и сохраняет их под следующими именами:
%WinDir%\country.exe
%WinDir%\countrydial.exe
%WinDir%\secure32.html
%System%\paytime.exe
%WinDir%\toolbar.exe
%WinDir%\tool1.exe
%WinDir%\tool2.exe
%WinDir%\tool3.exe
%WinDir%\tool4.exe
%WinDir%\tool5.exe
%WinDir%\ms1.exe
%WinDir%\hosts
После чего загруженные файлы запускаются на исполнение.
Рекомендации по удалению
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- В диспетчере задач завершить следующие процессы:
kl.exe tool1.exe tool2.exe tool3.exe tool4.exe tool5.exe country.exe countrydial.exe paytime.exe toolbar.exe ms1.exe
- Удалить все загруженные трояном файлы:
%WinDir%\kl.exe %WinDir%\country.exe %WinDir%\countrydial.exe %WinDir%\secure32.html %System%\paytime.exe %WinDir%\toolbar.exe %WinDir%\tool1.exe %WinDir%\tool2.exe %WinDir%\tool3.exe %WinDir%\tool4.exe %WinDir%\tool5.exe %WinDir%\ms1.exe %WinDir%\hosts
- Удалить следующий ключ реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
"adv579"="adv579" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic Downloader. q (McAfee) - Mal/Behav-011 (Sophos)
- Trojan.
Downloader. Small-970 (ClamAV) - Adware/Secure32 (Panda)
- W32/Downloader.
AT. gen!Eldorado (FPROT) - TrojanDownloader:
Win32/Harnig. gen!M (MS(OneCare)) - Trojan.
DownLoader. 22607 (DrWeb) - Win32/TrojanDownloader.
Small. AOD (Nod32) - Trojan.
Downloader. Adload. W (BitDef7) - Trojan.
DL. Small. Gen. 10 (VirusBuster) - Win32:
Small-gen4 [Trj] (AVAST) - Trojan-GameThief.
Win32. Lmir (Ikarus) - Downloader.
Small. 54. BP (AVG) - TR/Dldr.
PassAlert. i (AVIRA) - NseCheckFile2() returned 0x00010018 (Norman)
- Generic Downloader.
q (NAI) - TROJ_DLOADER.
BJA (PCCIL) - TROJ_DLOADER.
BJA (TrendMicro) - Trojan.
DL. Small. Gen. 10 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей