RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.dnvu
| Время детектирования | 27 ноя 2010 17:40 MSK |
| Время выпуска обновления | 27 ноя 2010 22:54 MSK |
| Описание опубликовано | 28 дек 2010 17:05 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 38056 байт. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела вредоносный драйвер, который сохраняет под именами:
%Temp%\cdfss %System%\drivers\wcscd.sysДанный файл имеет размер 30560 байт и детектируется антивирусом Касперского как Rootkit.Win32.Agent.bkwm. После этого троянец устанавливает в системе вредоносный драйвер под видом служб с именами "cdfss" и "wcscd". При этом в системном реестре создаются следующие ключи:
[HKLM\System\CurrentControlSet\Services\cdfss] "Type"=dword:00000001 "Start"=dword:00000001 "ImagePath"="%Temp%\cdfss" "ProcessId"=dword:000008cc [HKLM\System\CurrentControlSet\Services\cdfss\Enum] "0"="Root\\LEGACY_CDFSS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKLM\System\CurrentControlSet\Services\wcscd] "Type"=dword:00000001 "Start"=dword:00000001 "ImagePath"="%System%\drivers\wcscd.sys" [HKLM\System\CurrentControlSet\Services\wcscd\Enum] "0"="Root\\LEGACY_WCSCD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 "INITSTARTFAILED"=dword:00000001Затем используя функцию "NtLoadDriver()" загружает драйвер "cdfss" на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра:
[HKLM\System\CurrentControlSet\Services\cdfss] [HKLM\System\CurrentControlSet\Services\wcscd]
- Удалить файлы:
%Temp%\cdfss %System%\drivers\wcscd.sys
- Выполнить загрузку ОС в "обычном режиме".
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan:
Generic Dropper!dgx (McAfee) - Mal/Generic-L (Sophos)
- BC.
Heuristics. Rootkit. B-11. SDT (ClamAV) - Trj/Krap.
AZ (Panda) - W32/Trojan2.
NMLK (FPROT) - Trojan.
DownLoader1. 40147 (DrWeb) - Win32/Wigon.
OS trojan (Nod32) - Trojan.
Inject. IA (BitDef7) - processing error (VirusBuster)
- Win32:
DNSChanger-ZZ [Trj] (AVAST) - Trojan-Dropper.
Agent (Ikarus) - Generic20.
TCH (AVG) - TR/Rootkit.
Gen (AVIRA) - Trojan.
Gen (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Trojan.
Win32. Generic. 125AFD8E (Rising) - Trojan.
DR. Agent!5HBUJAqxyhA (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей