RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.ekbl
| Время детектирования | 25 авг 2010 08:52 MSK |
| Время выпуска обновления | 25 авг 2010 17:03 MSK |
| Описание опубликовано | 22 мар 2011 17:36 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 57856 байт. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл:
%Temp%\<rnd>.vbs(3247 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.VBS.Agent.aag")
где <rnd> – случайное восьмизначное шестнадцатеричное число.
Затем извлеченный файл запускается на выполнение посредством системного командного интерпретатора:
"%System%\cmd.exe" /c %Temp%\<rnd>.vbsПосле этого троянец завершает свою работу.
После запуска файл "<rnd>.vbs" выполняет следующие действия:
- создает каталог:
<my_doc>\<rnd1>
где <rnd1> – произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU"; <my_doc> – путь к каталогу "Мои документы" для текущего пользователя, который троянец получает из ключа системного реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell Folders\Personal]
- Загружает файл по следующей ссылке:
http://ka***ow.info/PCDefenderSilentSetup.msi (На момент создания описания ссылка не работала)
Загруженный файл сохраняется в созданном ранее каталоге как<my_doc>\<rnd1>\<rnd2>
где <rnd2> – произвольная последовательность букв латинского алфавита, например "YSCXTAFWWQJWIO". - Проверяет включен ли UAC, считывая значение ключа системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ System\EnableLUA]
Если UAC выключен, то троянец выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий. - Для автоматического удаления каталога с загруженным файлом при следующем старте системы создает ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] "delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\<rnd>.vbs <my_doc>\<rnd1>\<rnd2>
- Удалить ключ системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] "delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей