RSS-каналы
Уровень опасности: 1
Trojan.Win32.Scar.dffu
| Время детектирования | 22 ноя 2010 23:02 MSK |
| Время выпуска обновления | 23 ноя 2010 04:46 MSK |
| Описание опубликовано | 25 окт 2011 17:44 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Написана на C++.
Инсталляция
После запуска бэкдор выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
H1N1Bot
- Копирует свое тело в файл:
%USERPROFILE%\Local Settings\Application Data\winvv.exe
- Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Update" = "%USERPROFILE%\Local Settings\Application Data\winvv.exe"
Деструктивная активность
После запуска бэкдор для получения команд обращается по ссылке:
www.que-buscas.com/~ii/Zz/bot.php
На указанный сервер отправляется следующая информация о системе:
- имя пользователя;- имя компьютера.
Далее вредонос переходит в цикл ожидания команд. Реализована обработка команд, содержащих в своих именах подстроки:
!dwnt !clot !remt
В зависимости от полученной команды вредонос может выполнять следующие действия:
- загружать из сети Интернет файлы по полученным ссылкам и запускать их на выполнение.
- Завершать свой процесс.
- Удалять ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Update" = "%USERPROFILE%\Local Settings\Application Data\winvv.exe"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс с именем "winvv.exe".
- Удалить файл:
%USERPROFILE%\Local Settings\Application Data\winvv.exe
- Удалить ключ системного реестра (Как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Update" = "%USERPROFILE%\Local Settings\Application Data\winvv.exe"
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: 5299F2F243F5B5B5152D847F4613DE20
SHA1: 5C0FC215025314941D7EB027D62311C183796A59
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей