RSS-каналы
Уровень опасности: 1
Trojan.Win32.Oficla.mop
| Время детектирования | 12 июн 2011 07:33 MSK |
| Время выпуска обновления | 12 июн 2011 12:58 MSK |
| Описание опубликовано | 12 авг 2011 14:26 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE DLL-файл). Имеет размер 22016 байт. Написана на C++.
Инсталляция
Троянец копирует свое тело во временный каталог текущего пользователя под именем "engs.tio":
%Temp%\engs.tioДля автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe %Temp%\engs.tio mmxxab
Деструктивная активность
Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:
[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1"И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
224187538685a04dbaДалее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:
svchost.exeТроянец отправляет запрос по следующему адресу:
http://w***isip.org.uk/ff/bb.phpНа момент создания описания ссылка не работала. В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:
[HKCR\idid]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\engs.tio
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Удалить ключ системного реестра (как работать с реестром?):
[HKCR\idid]
- При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
- Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей