Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan.Win32.Scar.cqil

Trojan.Win32.Scar.cqil

Время детектирования 24 авг 2010 15:06 MSK
Время выпуска обновления 24 авг 2010 20:59 MSK
Описание опубликовано 07 фев 2011 15:03 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл: 

C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308
-1455\fddg.exe
Также создается файл: 
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308
-1455\Desktop.ini (63 байта)
следующего содержания: 
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Созданным файлам присваиваются атрибуты "только чтение" (read only), "скрытый" (hidden), "системный" (system).

Для автоматического запуска созданной копии при каждом следующем старте системы троянец создает ключи системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tji771" = "C:\RECYCLER\S-1-5-21-0243556031-888888379
-781863308-1455\fddg.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-
781863308-1455\fddg.exe"
а также изменяет значение ключа: 
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-
888888379-781863308-1455\fddg.exe"


Деструктивная активность

Троянец внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, реализующий нижеописанные действия.

Для контроля уникальности процесса в системе создается уникальный идентификатор с именем: 

sik34ugq
Далее устанавливается соединение с сервером: 
te***hmar.com
После этого на зараженный компьютер могут загружаться файлы по переданным злоумышленником ссылкам, и запускаться на выполнение. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. На момент создания описания указанный сервер не работал.

Также внедренный код предотвращает удаление ключей системного реестра, описанных в разделе "Инсталляция".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить, а затем заново запустить процесс "EXPLORER.EXE".
  2. Удалить ключи системного реестра (как работать с реестром?): 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tji771" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-
781863308-1455\fddg.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "C:\RECYCLER\S-1-5-21-0243556031-888888379-
781863308-1455\fddg.exe"
  3. Изменить значение ключа системного реестра (как работать с реестром?): 
    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "explorer.exe,"
  4. Удалить файлы: 
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-
1455\fddg.exe
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-
1455\Desktop.ini
  5. Удалить загруженные троянцем файлы в каталоге "%Temp%".
  6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.


Другие модификации
Trojan.Win32.Scar.cmdh
Trojan.Win32.Scar.cnsw
Trojan.Win32.Scar.dffu
Trojan.Win32.Scar.dgje

Другие названия

Trojan.Win32.Scar.cqil («Лаборатория Касперского») также известен как:

  • Trojan: Generic.dx!tnv (McAfee)
  • Mal/Generic-L (Sophos)
  • Trj/Scar.R (Panda)
  • W32/Kolab.AN (FPROT)
  • Trojan:Win32/Meredrop (MS(OneCare))
  • BackDoor.IRC.Bot.166 (DrWeb)
  • Win32/Lethic.AA trojan (Nod32)
  • Trojan.Generic.KD.28440 (BitDef7)
  • Trojan.Scar!+qCacoM45nk (VirusBuster)
  • Win32:Flot-U [Wrm] (AVAST)
  • Net-Worm.Win32.Kolab (Ikarus)
  • IRC/BackDoor.SdBot4.SEN (AVG)
  • TR/Scar.cqil (AVIRA)
  • W32.Pilleuz (NAV)
  • W32/Smalltroj.ZJKT (Norman)
  • Trojan.Win32.Generic.522AD549 (Rising)
  • Trojan.Win32.Scar.cqil [AVP] (FSecure)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.Scar!+qCacoM45nk (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск