Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.Agent2.ddnd

Trojan.Win32.Agent2.ddnd

Время детектирования	04 мар 2011 03:25 MSK
Время выпуска обновления	04 мар 2011 10:17 MSK
Описание опубликовано	19 сен 2011 16:57 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 8704 байта. Написана на C++.

Инсталляция

Для автоматического запуска своего оригинального файла при каждой следующей загрузке системы троянец создает ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя исполняемого файла троянца без расширения>" = "<полный путь к оригинальному файлу троянца>"

Деструктивная активность

После запуска троянец в бесконечном цикле выполняет следующие действия:

считывает содержимое HTML-страницы, которая находится по адресу:
```
http://www.aca****ctreks.com/postinfo.html
```
Анализирует полученные данные на предмет наличия ссылок для загрузки файлов.
По полученным ссылкам загружает файлы, сохраняемые в каталоге хранения временных файлов текущего пользователя как
```
%Temp%\<FileName>.exe
```
Имя файла <FileName> берется из ссылки.
В случае успешной загрузки запускает файл на выполнение.

В зависимости от результата загрузки, время между итерациями цикла может составлять 8, 10, 90 или 100 минут.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить ключ системного реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя исполняемого файла троянца без расширения>" = "<полный путь к оригинальному файлу троянца>"

Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: FED763A86628E820EEE6C9C8547FECB1

SHA1: C60D2E07D025B7AB09FF4B10999838758BF24B7A

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.Agent2.ciir

Trojan.Win32.Agent2.cmry

Trojan.Win32.Agent2.cqok

Trojan.Win32.Agent2.cqol

Trojan.Win32.Agent2.dbw

Trojan.Win32.Agent2.dmdi

Trojan.Win32.Agent2.dmuw

Trojan.Win32.Agent2.dmvt

Trojan.Win32.Agent2.dtb

Trojan.Win32.Agent2.ejm

Trojan.Win32.Agent2.kln

Trojan.Win32.Agent2.kxb

Trojan.Win32.Agent2.lmu

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей