Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.FraudPack.amqa

Trojan.Win32.FraudPack.amqa

Время детектирования	26 фев 2010 06:15 MSK
Время выпуска обновления	26 фев 2010 12:22 MSK
Описание опубликовано	04 авг 2010 16:09 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 59904 байта. Написана на C++.

Деструктивная активность

После запуска троянец читает значение параметра "DigitalProductId" ключа системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]

Затем вредонос определяет путь к каталогу диспетчера печати (Print Processor Directory) и затем извлекает в него из своего тела динамическую библиотеку с именем:

%System%\spool\prtprocs\w32x86\SMWinPrn.dat

Данный файл имеет размер 16896 байт и детектируется антивирусом Касперского как Trojan.Win32.Patched.fr. Затем вредонос проверяет запущена ли служба печати "Spooler". Если служба не активна – троянец запускает ее на выполнение. Далее троянец использует механизмы службы диспетчера печати для обхода поведенческой защиты. Троянец осуществляет вызов API функцию AddPrintProcessor() для запуска на выполнение извлеченной вредоносной библиотеки "SMWinPrn.dat" в контексте доверенного процесса печати "spoolsv.exe". После этого троянец удаляет библиотеку. Также троянец создает следующие ключи в системном реестре:

[HKLM\Software\Settings]
CryptoHash = <hex>
ErrorControl = <hex>
CoreSettings = <hex>
HashSeed = <hex>
DriveSettings = <hex>

где hex – набор значений в шестнадцатеричной системе счисления.

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC\0000]
Service = "sfc"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc\Enum]
0 = "Root\LEGACY_SFC\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc]
Type = 0x00000001

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Остановить службу печати " Spooler".
При помощи Диспетчера задач завершить процесс "spoolsv.exe".
При наличии удалить файл:
```
%System%\spool\prtprocs\w32x86\SMWinPrn.dat
```
Удалить ключ системного реестра:
```
[HKLM\Software\Settings]
```

Удалить параметры в ключах реестра:

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC\0000]
Service = "sfc"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "sfc"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_SFC]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc\Enum]
0 = "Root\LEGACY_SFC\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\sfc]
Type = 0x00000001

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.FraudPack.aceg

Trojan.Win32.FraudPack.akqu

Trojan.Win32.FraudPack.anmu

Trojan.Win32.FraudPack.aoip

Trojan.Win32.FraudPack.aolb

Trojan.Win32.FraudPack.aopr

Trojan.Win32.FraudPack.aown

Другие названия

Trojan.Win32.FraudPack.amqa («Лаборатория Касперского») также известен как:

Trojan: Generic Dropper!ctg (McAfee)
Mal/FakeAV-CT (Sophos)
Trj/Zlob.KH (Panda)
W32/Dropper.BCKY (FPROT)
Trojan:Win32/Meredrop (MS(OneCare))
Trojan.WinSpy.570 (DrWeb)
Trojan.Generic.3320387 (BitDef7)
Trojan.FraudPack!NZh/nPV+ymo (VirusBuster)
Win32:WinSpy-FP [Trj] (AVAST)
Backdoor.Win32.Hodprot (Ikarus)
Generic16.CNYC (AVG)
Trojan.Gen (NAV)
W32/Suspicious_Gen2.AUHGO (Norman)
Trojan.Win32.Generic.11E6D7BF (Rising)
Trojan.Win32.FraudPack.amqa [AVP] (FSecure)
Trojan.Win32.Meredrop (Sunbelt)
Trojan.FraudPack!NZh/nPV+ymo (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com