RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Small.epy
| Время детектирования | 14 июн 2007 14:39 MSK |
| Время выпуска обновления | 14 июн 2007 14:39 MSK |
| Описание опубликовано | 22 июн 2007 12:39 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер около 6 КБ.Деструктивная активность
После запуска вирус непрерывно ищет в системе окна с именами класса «AVP.AlertDialog» и имитирует в них нажатия на кнопки «Разрешить», «Разрешить однократно», «Allow», «Skip», «Создать правило для», «Create rule for». Троянец закрывает окна с именем класса «AVP.Product_Notification».
Также троянская программа загружает файлы, расположенные по следующим ссылкам:
http://coco32.org/***/exp/reHzE4Is.php http://coco32.org/***/ld2/1.jpg?0 http://coco32.org/***/ld2/0.jpg?0 http://coco32.org/***/ld2/1.jpg?1 http://coco32.org/***/ld2/0.jpg?1 http://coco32.org/***/ld2/1.jpg?2 http://coco32.org/***/ld2/0.jpg?2 http://coco32.org/***/ld2/1.jpg?3 http://coco32.org/***/ld2/0.jpg?3 http://coco32.org/***/ld2/1.jpg?4 http://coco32.org/***/ld2/0.jpg?4 http://coco32.org/***/ld2/1.jpg?5 http://coco32.org/***/ld2/0.jpg?5 http://coco32.org/***/ld2/1.jpg?6 http://coco32.org/***/ld2/0.jpg?6 http://coco32.org/***/ld2/1.jpg?7 http://coco32.org/***/ld2/0.jpg?7 http://coco32.org/***/ld2/1.jpg?8 http://coco32.org/***/ld2/0.jpg?8 http://coco32.org/***/ld2/1.jpg?9 http://coco32.org/***/ld2/0.jpg?9 http://coco32.org/***/ldr/pussy.php?0 http://coco32.org/***/ldr/pussy.php?1 http://coco32.org/***/ldr/pussy.php?2 http://coco32.org/***/ldr/pussy.php?3 http://coco32.org/***/ldr/pussy.php?4 http://coco32.org/***/ldr/pussy.php?5 http://coco32.org/***/ldr/pussy.php?6 http://coco32.org/***/ldr/pussy.php?7 http://coco32.org/***/ldr/pussy.php?8 http://coco32.org/***/ldr/pussy.php?9
Данные файлы сохраняются под случайными именами во временной папке Windows («%Temp%»). По мере скачивания они запускаются на исполнение.
На момент создания описания указанные ссылки не работали.
По завершении работы троянец удаляет свой исполняемый файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить содержимое временной папки («%Temp%»).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan.
Downloader-9058 (ClamAV) - Trj/Downloader.
MDW (Panda) - VirTool:
Win32/Obfuscator. P (MS(OneCare)) - Trojan.
Packed. 166 (DrWeb) - DeepScan:
Generic. Malware. Bdld!!. AD3526DC (BitDef7) - Trojan.
DR. Cimuz. Gen. 1 (VirusBuster) - Trojan Horse (NAV)
- Downloader-BED (NAI)
- Packer.
RyCrypt (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей