Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Downloader.Win32.Banload.dcd

Trojan-Downloader.Win32.Banload.dcd

Время детектирования 04 сен 2007 05:47 MSK
Время выпуска обновления 04 сен 2007 05:47 MSK
Описание опубликовано 07 авг 2008 17:57 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 113152 байта. Ничем не упакована. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в каталог программ Windows под именем "lsass.exe":

%Program Files%\Microsoft Studio Files\lsass.exe

Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"

Далее троянец в своем каталоге установки создает файл командного интерпретатора "vcdg.bat":

%Program Files%\Microsoft Studio Files\vcdg.bat

в который записывает следующие строки:

netsh.exe firewall add allowedprogram PROGRAM="%Program Files%\Microsoft Studio
Files\lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL

Таким образом, троянец добавляет настройку в конфигурацию файервола Windows XP, которая разрешает выполнение любой сетевой активности для вредоносного процесса.

Затем файл "%Program Files%\Microsoft Studio Files\vcdg.bat" запускается на выполнение.


Деструктивная активность

После инсталляции троянец выполняет загрузку файлов, расположенных по следующим адресам:

http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar
http://www.*****-consult.net/rcss.res
http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg

На момент создания описания указанные ссылки не работали.

http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

Данный файл имеет размер 2603325 байт и детектируется Антивирусом Касперского, как Trojan-Spy.Win32.Banbra.bak.

Загруженные файлы сохраняются в каталог установки троянской программы под случайными именами и запускаются на выполнение.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить троянский процесс.
  2. Удалить параметр в ключе системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить каталог со всем его содержимым:
    %Program Files%\Microsoft Studio Files
  5. Очистить каталог %Temporary Internet Files%.
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.


Другие модификации
Trojan-Downloader.Win32.Banload.ahbj
Trojan-Downloader.Win32.Banload.ahco
Trojan-Downloader.Win32.Banload.cfi
Trojan-Downloader.Win32.Banload.cfp
Trojan-Downloader.Win32.Banload.cia
Trojan-Downloader.Win32.Banload.ts

Другие названия

Trojan-Downloader.Win32.Banload.dcd («Лаборатория Касперского») также известен как:

  • Trojan: PWS-Banker.dldr (McAfee)
  • Troj/Banld-B (Sophos)
  • Trojan.Downloader-14271 (ClamAV)
  • Trj/Nabload.DNH (Panda)
  • W32/Trojan.CADQ (FPROT)
  • TrojanDownloader:Win32/Banload.FP (MS(OneCare))
  • a variant of Win32/TrojanDownloader.Banload trojan (Nod32)
  • Trojan.Generic.58501 (BitDef7)
  • Trojan.DL.Banload.FOU (VirusBuster)
  • Win32:Banload-CRR [Trj] (AVAST)
  • Trojan.Banker.LEM (Ikarus)
  • VB.AKY (AVG)
  • TR/Crypt.CFI.Gen (AVIRA)
  • Downloader (NAV)
  • W32/Banload.AAEM (Norman)
  • PWS-Banker.dldr (NAI)
  • TROJ_BANLOAD.CLK (PCCIL)
  • Trojan.DL.Win32.Banload.dcd (Rising)
  • TROJ_BANLOAD.CLK (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск