RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Java.Agent.lg
| Время детектирования | 06 май 2011 13:17 MSK |
| Время выпуска обновления | 06 май 2011 19:22 MSK |
| Описание опубликовано | 12 авг 2011 13:58 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 1977 байт.
Деструктивная активность
Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы. После запуска троянец загружает из сети Интернет файл по следующей ссылке:
http://mast*****d.fileave.com/Winlogin.exeЗагруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\xx.exeИ после успешной загрузки запускается на выполнение. На момент создания описания по приведенной ссылке загружался файл размером 1461760 байт. Файл детектируется Антивирусом Касперского как "Trojan.Win32.Llac.wdu". Загруженный вредонос инсталлируется в систему, создавая копию:
%Temp%\rundll.exeа также ключ автозапуска в системном реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "rundll.exe" = "%Temp%\rundll.exe"Загруженный вредонос является бэкдором, то есть дает возможность злоумышленнику получать удаленный доступ к зараженному компьютеру.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить файлы:
%Temp%\xx.exe %Temp%\rundll.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "rundll.exe" = "%Temp%\rundll.exe"
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей