RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.cvva
| Время детектирования | 26 авг 2010 22:59 MSK |
| Время выпуска обновления | 27 авг 2010 07:22 MSK |
| Описание опубликовано | 28 дек 2010 16:45 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24064 байта. Упакована UPX. Распакованный размер – около 48 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- извлекает из своего тела файл, который сохраняется в системе как %System%\mslaejjs.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnpj") Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
- Запускает системную утилиту "Rundll32.exe" со следующими параметрами:
%System%\mslaejjs.dll,w
Таким образом, из извлеченной библиотеки вызывается функция с именем "w". При этом троянская библиотека будет инсталлирована в систему и подгружена в адресное пространство процесса "wow.exe". Также будет создан следующий ключ автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному файлу троянца>,w"
- Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
- Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%System%\mslaejjs.dll
- Удалить ключ системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному файлу троянца>,w"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan:
PWS-OnlineGames. ir (McAfee) - Mal/Behav-290 (Sophos)
- Trj/StartPage.
DAW (Panda) - W32/Trojan2.
NFSJ (FPROT) - PWS:
Win32/Frethog. MK (MS(OneCare)) - Trojan.
MulDrop1. 43053 (DrWeb) - Win32/PSW.
WOW. NOW trojan (Nod32) - Gen:
Trojan. Heur. RP. bmGfaml2A!eb (BitDef7) - Trojan.
DR. Agent. ZNGW (VirusBuster) - Win32:
Malware-gen (AVAST) - Virus.
Win32. Virut (Ikarus) - Dropper.
Agent. ZGG (AVG) - TR/Drop.
Raysun. A (AVIRA) - Trojan.
Gen (NAV) - W32/BAT_Sample.
A. dropper (Norman) - Trojan-Dropper.
Win32. Agent. cvva [AVP] (FSecure) - TSPY_FRETHOG.
SMZ (TrendMicro) - Trojan.
DR. Agent. ZNGW (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей