RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Murlo.eb
| Время детектирования | 07 сен 2006 16:25 MSK |
| Время выпуска обновления | 27 апр 2007 19:35 MSK |
| Описание опубликовано | 07 сен 2006 16:25 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Упакована при помощи AsPack. Размер файла — 20480 байт. Размер в распакованном виде — около 58 КБ.
Инсталляция
Троянец запускается с параметрами:
net stop wscsvc
Изменяет значения следующих ключей реестра для полного отключения «Центра безопасности» и «Брандмауэра Windows»:
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Start=4
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start=4
Также троянец извлекает из своего тела динамическую библиотеку DLL и сохраняет ее во временный каталог Windows нижеприведенным именем после чего загружает ее.
Деструктивная активность
Троянец завершает следующие процессы:
iexplore.exe
Opera.exe
При загрузке созданная трояном библиотека ищет в системе процесс iexplore.exe и загружает себя в его адресное пространство. Если процесс не найден, библиотека запускает его.
Троянец скачивает файлы по следующим ссылкам:
http://85.255.***.219/e436.gif
http://85.255.***.219/e441.gif
http://85.255.***.219/e449.gif
Сохраняет их в системную папку Windows (%System%) с расширением EXE, после чего запускает их на исполнение.
Троянец регистрирует свою копию на сайте, открывая следующий URL:
Рекомендации по удалению
- Перезагрузить Windows в безопасный режим (при загрузке Windows нажать F8 и выбрать Safe Mode).
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы tmp<случайное число>.tmp во временном каталоге Windows.
- Изменить значения следующих ключей реестра:
на:
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Start=4[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start=4[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Start=2[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start=2 - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Downloader-YO (McAfee) - Mal/Murlo-A (Sophos)
- Trj/Downloader.
JYY (Panda) - TrojanDownloader:
Win32/Cavitate (MS(OneCare)) - BackDoor.
Apex. 83 (DrWeb) - Win32/TrojanDownloader.
Murlo trojan (Nod32) - Trojan.
Generic. 2088375 (BitDef7) - Trojan.
DL. Murlo. BBL (VirusBuster) - Win32:
Agent-EQW [Trj] (AVAST) - Trojan-Downloader.
Win32. Murlo (Ikarus) - Downloader.
Generic8. ADRJ (AVG) - TR/Crypt.
XPACK. Gen (AVIRA) - Downloader (NAV)
- W32/Murlo.
BEZ (Norman) - Packer.
Win32. LoveLHM. a [Suspicious] (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей