RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.ejui
| Время детектирования | 24 авг 2010 12:47 MSK |
| Время выпуска обновления | 24 авг 2010 18:59 MSK |
| Описание опубликовано | 16 мар 2011 14:22 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 53760 байт. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%\winr.exeПри этом создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\userinit.exe] "Debugger" = "winr.exe"Таким образом, троянец будет запускаться в качестве отладчика каждый раз при старте процесса "userinit.exe".
Оригинальный файл троянца на этапе инсталляции удаляется.
Деструктивная активность
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "6A57BEED". После этого для проверки подключения к сети Интернет устанавливается соединение с узлом:
google.comЕсли подключение существует, троянец устанавливает соединение с хостами:
taw***do.cc uer***mo.ccС данных хостов на зараженный компьютер могут быть загружены другие вредоносные программы. На момент создания описания указанные сервера не отвечали.
Троянец способен внедрять свой вредоносный код в адресные пространства системных процессов:
csrss.exe svchost.exe winlogon.exe explorer.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключ системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\userinit.exe] "Debugger" = "winr.exe"
- Перезагрузить компьютер.
- Удалить файл:
%System%\winr.exe
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx!tqa (McAfee) - Mal/FakeAV-BT (Sophos)
- Trojan.
Agent-168876 (ClamAV) - Trj/Downloader.
MDW (Panda) - Trojan:
Win32/Remhead (MS(OneCare)) - Trojan.
DownLoader1. 19025 (DrWeb) - Win32/Spy.
Bebloh. E trojan (Nod32) - Trojan.
Fakealert. 16193 (BitDef7) - Trojan.
DL. Agent!F8xoOL7WIHA (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan.
SuspectCRC (Ikarus) - Generic18.
BYPD (AVG) - TR/Agent.
AVN. 1 (AVIRA) - Trojan.
Zbot (NAV) - W32/Smalltroj.
ZJIS (Norman) - Trojan.
Win32. Generic. 522ABD94 (Rising) - Trojan-Downloader.
Win32. Agent. ejui [AVP] (FSecure) - TROJ_DLOADR.
EXE (TrendMicro) - Trojan-Downloader.
Win32. Agent (Sunbelt) - Trojan.
DL. Agent!F8xoOL7WIHA (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей