RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.FraudLoad.gym
| Время детектирования | 16 авг 2010 16:35 MSK |
| Время выпуска обновления | 17 авг 2010 05:41 MSK |
| Описание опубликовано | 28 дек 2010 13:59 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 44544 байта. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:
%Temp%\<rnd>.vbs
(2973 байта; детектируется Антивирусом Касперского как " Trojan-Downloader.Win32.FraudLoad.gym") где <rnd> – случайное восьмизначное шестнадцатеричное число (например: "4d0b7d84"). - Запускает извлеченный файл при помощи системного командного интерпретатора:
cmd.exe /c %Temp%\<rnd>.vbs
- Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:
/c del <полный путь к оригинальному файлу троянца> > nul
Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:
http://ka-k***gsystem-at.info/PCDefenderSilentSetup.msi (на момент создания описания ссылка не работала)Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:
%USERPROFILE%\My Documents\<rnd>\<rnd>.msiДалее загруженный файл запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файлы:
%Temp%\
.vbs %USERPROFILE%\My Documents\ \ .msi - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx!tpp (McAfee) - Mal/EncPk-RP (Sophos)
- Trj/Zlob.
KH (Panda) - W32/Trojan2.
NGOU (FPROT) - VirTool:
Win32/Obfuscator. DO (MS(OneCare)) - Trojan.
Fakealert. 18633 (DrWeb) - Win32/Kryptik.
GOP trojan (Nod32) - Trojan.
Generic. 4657977 (BitDef7) - Trojan.
Kryptik. AFLO (VirusBuster) - Trojan-Downloader.
Win32. FraudLoad (Ikarus) - Downloader.
Generic10. OKA (AVG) - TR/Dldr.
FraudLoad. gym (AVIRA) - Downloader (NAV)
- W32/Crypt.
AOYX (Norman) - Trojan.
Win32. Generic. 52291157 (Rising) - Trojan-Downloader.
Win32. FraudLoad. gym [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
Kryptik!g7XU2a7NB34 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей