RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Tiny.ia
| Время детектирования | 26 июн 2007 20:59 MSK |
| Время выпуска обновления | 26 июн 2007 20:59 MSK |
| Описание опубликовано | 25 янв 2010 16:11 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, открывающая Интернет страницы в браузере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 3213 байт. Упакована FSG. Распакованный размер – около 29 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%\msscmc36.exeПосле этого троянец завершает свою работу.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"Это приводит к автоматическому запуску копии троянца при каждом следующем старте системы.[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\Таким образом, порт 23203 записывается в список исключений брандмауэра Windows.
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND" - Запускает процесс
%Program Files%\Internet Explorer\iexplore.exe
и внедряет в его адресное пространство код, выполняющий в бесконечном цикле обращение по следующей ссылке:http://www.google.com?action=log&loc=&user=<Имя пользователя>&cn=<Системная локаль>&port=23203
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "iexplore.exe".
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Visual Control" = "%System%\msscmc36.exe"
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List] "23203:TCP" = "23203:TCP:*:Enabled:BND" - Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%System%\msscmc36.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Bck/Bandok.
AV (Panda) - BackDoor.
BackBook (DrWeb) - Generic.
Malware. SYdPWS. A778300F (BitDef7)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей