Trojan-Downloader.Win32.Tiny.ia

Главная / Описания / Trojan-Downloader.Win32.Tiny.ia

Печать

Закладки

Время детектирования	26 июн 2007 20:59 MSK
Время выпуска обновления	26 июн 2007 20:59 MSK
Описание опубликовано	25 янв 2010 16:11 MSK

Технические детали

Деструктивная активность

Рекомендации по удалению

Технические детали

Троянская программа, открывающая Интернет страницы в браузере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 3213 байт. Упакована FSG. Распакованный размер – около 29 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\msscmc36.exe

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"
Это приводит к автоматическому запуску копии троянца при каждом следующем старте системы.
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND"
Таким образом, порт 23203 записывается в список исключений брандмауэра Windows.
Запускает процесс
```
%Program Files%\Internet Explorer\iexplore.exe
```
и внедряет в его адресное пространство код, выполняющий в бесконечном цикле обращение по следующей ссылке:
http://www.google.com?action=log&loc=&user=<Имя пользователя>&cn=<Системная локаль>&port=23203

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить процесс "iexplore.exe".
Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND"
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
```
%System%\msscmc36.exe
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.Tiny.aaa

Trojan-Downloader.Win32.Tiny.abt

Trojan-Downloader.Win32.Tiny.ajd

Trojan-Downloader.Win32.Tiny.al

Trojan-Downloader.Win32.Tiny.aly

Trojan-Downloader.Win32.Tiny.bos

Trojan-Downloader.Win32.Tiny.byt

Trojan-Downloader.Win32.Tiny.cfq

Trojan-Downloader.Win32.Tiny.ev

Другие названия

Trojan-Downloader.Win32.Tiny.ia («Лаборатория Касперского») также известен как:

Bck/Bandok.AV (Panda)
BackDoor.BackBook (DrWeb)
Generic.Malware.SYdPWS.A778300F (BitDef7)