Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Dropper.Win32.Agent.cwsw

Trojan-Dropper.Win32.Agent.cwsw

Время детектирования 30 авг 2010 21:57 MSK
Время выпуска обновления 31 авг 2010 08:12 MSK
Описание опубликовано 24 мар 2011 14:44 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 37376 байт. Написана на C++.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • останавливает и удаляет службу "COMServer".
  • Удаляет ключ системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"COMServer"
  • Завершает процесс "comsrvr.exe".
  • Извлекает из своего тела файл, который сохраняется в системе как 
    %System%\msapps\comsrvr.exe
    (29696 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.eljy")
  • Создает и запускает в системе службу с именем "COMServer", исполняемым файлом которой является извлеченный ранее файл.
  • В случае если службу создать не удается, троянец создает ключ системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"COMServer" = "%System%\msapps\comsrvr.exe"
    Таким образом, файл "comsrvr.exe" будет автоматически запускаться при каждом следующем старте системы.
  • Далее извлеченный файл запускается на выполнение.

Запущенная троянская программа "Trojan-Downloader.Win32.Agent.eljy" реализует функционал загрузчика. Устанавливается соединение со следующими серверами: 

ccooo***o.cc
cccooo***o.cc
На указанные хосты отправляются HTTP-запросы следующего вида: 
GET favicon.ico HTTP/1.1
Host: bcProxyBot.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg
Accept-Language: en-us
UA-CPU: x86
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 
.NET CLR 1.2.2.1)
Cookie: 000C29CBBE24<имя компьютера>
В ответ на запрос с сервера отправляется файл, который троянец сохраняет в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайным именем. После успешной загрузки файл запускается на выполнение.

Загрузка файла осуществляется в цикле через каждые 60 секунд.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить процесс "comsrvr.exe".
  2. Удалить ключ системного реестра (как работать с реестром?): 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"COMServer" = "%System%\msapps\comsrvr.exe"
  3. Удалить ветви системного реестра (как работать с реестром?): 
    [HKLM\System\ControlSet001\Services\COMServer]
[HKLM\System\CurrentControlSet\Services\COMServer]
  4. Удалить файл: 
    %System%\msapps\comsrvr.exe
  5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  6. Удалить файлы загруженные троянцем в каталоге "%Temp%".
  7. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Dropper

Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

  • скрытной инсталляции троянских программ и вирусов;
  • защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Другие модификации
Trojan-Dropper.Win32.Agent.aaj
Trojan-Dropper.Win32.Agent.adi
Trojan-Dropper.Win32.Agent.aejs
Trojan-Dropper.Win32.Agent.aflx
Trojan-Dropper.Win32.Agent.aga
Trojan-Dropper.Win32.Agent.agq
Trojan-Dropper.Win32.Agent.agqq
Trojan-Dropper.Win32.Agent.agya
Trojan-Dropper.Win32.Agent.aiad
Trojan-Dropper.Win32.Agent.aiar
Trojan-Dropper.Win32.Agent.ajtw
Trojan-Dropper.Win32.Agent.akap
Trojan-Dropper.Win32.Agent.albv
Trojan-Dropper.Win32.Agent.aptu
Trojan-Dropper.Win32.Agent.ate
Trojan-Dropper.Win32.Agent.athk
Trojan-Dropper.Win32.Agent.awwv
Trojan-Dropper.Win32.Agent.ayft
Trojan-Dropper.Win32.Agent.ayqa
Trojan-Dropper.Win32.Agent.bc
Trojan-Dropper.Win32.Agent.bcyx
Trojan-Dropper.Win32.Agent.bgn
Trojan-Dropper.Win32.Agent.bh
Trojan-Dropper.Win32.Agent.bot
Trojan-Dropper.Win32.Agent.bumn
Trojan-Dropper.Win32.Agent.buxt
Trojan-Dropper.Win32.Agent.bv
Trojan-Dropper.Win32.Agent.bvgj
Trojan-Dropper.Win32.Agent.bwlr
Trojan-Dropper.Win32.Agent.cbjo
Trojan-Dropper.Win32.Agent.cckn
Trojan-Dropper.Win32.Agent.cdqo
Trojan-Dropper.Win32.Agent.cegg
Trojan-Dropper.Win32.Agent.ceqq
Trojan-Dropper.Win32.Agent.cfrh
Trojan-Dropper.Win32.Agent.cmds
Trojan-Dropper.Win32.Agent.cnyq
Trojan-Dropper.Win32.Agent.cpyu
Trojan-Dropper.Win32.Agent.cqog
Trojan-Dropper.Win32.Agent.crbk
Trojan-Dropper.Win32.Agent.csrb
Trojan-Dropper.Win32.Agent.csxg
Trojan-Dropper.Win32.Agent.cvva
Trojan-Dropper.Win32.Agent.cwsh
Trojan-Dropper.Win32.Agent.cwzh
Trojan-Dropper.Win32.Agent.cxdv
Trojan-Dropper.Win32.Agent.czms
Trojan-Dropper.Win32.Agent.czxz
Trojan-Dropper.Win32.Agent.dcbd
Trojan-Dropper.Win32.Agent.delm
Trojan-Dropper.Win32.Agent.dfqk
Trojan-Dropper.Win32.Agent.dnvu
Trojan-Dropper.Win32.Agent.dvyh
Trojan-Dropper.Win32.Agent.dwis
Trojan-Dropper.Win32.Agent.dwpo
Trojan-Dropper.Win32.Agent.ezqm
Trojan-Dropper.Win32.Agent.lg
Trojan-Dropper.Win32.Agent.mc
Trojan-Dropper.Win32.Agent.vac
Trojan-Dropper.Win32.Agent.vw
Trojan-Dropper.Win32.Agent.xsd
Trojan-Dropper.Win32.Agent.zlo

Другие названия

Trojan-Dropper.Win32.Agent.cwsw («Лаборатория Касперского») также известен как:

  • Trojan: Generic.dx!ubd (McAfee)
  • Mal/Zbot-U (Sophos)
  • Trj/StartPage.DAW (Panda)
  • Trojan:Win32/Bumat!rts (MS(OneCare))
  • a variant of Win32/TrojanProxy.Bakcorox.A trojan (Nod32)
  • Gen:Trojan.Heur.RP.cuW@a0qJF7di (BitDef7)
  • Trojan.DR.Agent.ZDGP (VirusBuster)
  • Win32:Malware-gen (AVAST)
  • Gen.Trojan (Ikarus)
  • Proxy.ALAH (AVG)
  • TR/Dropper.Gen (AVIRA)
  • Trojan.Gen (NAV)
  • W32/Smalltroj.ZJME (Norman)
  • Trojan.Win32.Generic.522CDD9B (Rising)
  • Trojan-Dropper.Win32.Agent.cwsw [AVP] (FSecure)
  • TROJ_LAMEWAR.VTG (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.DR.Agent!ST7mDTAl8yE (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск