RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Adload.ajek
| Время детектирования | 28 июн 2011 22:37 MSK |
| Время выпуска обновления | 29 июн 2011 00:24 MSK |
| Описание опубликовано | 13 сен 2011 13:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 90112 байт. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- создает в каталоге хранения временных файлов текущего пользователя каталог:
%Temp%\stb
где <rnd> – случайное двухзначное шестнадцатеричное число..tmp - Загружает из сети Интернет файл по следующей ссылке:
http://upgrade.qu***scantwo.com/install.aspx?b=questscan
Загруженный файл сохраняется в ранее созданном каталоге как%Temp%\stb
.tmp\setup.exe - Запускает загруженный файл на выполнение.
- Дождавшись завершения выполнения запущенного файла, удаляет файл:
%Temp%\stb
а также каталог:.tmp\setup.exe %Temp%\stb
.tmp - Информирует злоумышленника об успешной установке вредоносного ПО на зараженном компьютере, открывая ссылку:
http://upgrade.qu***scantwo.com/?vn=0&kn0=017&rea=<число>&qefj09=57&cid=<текстовая строка>&muuo91=74&b=questscan&hye7=9445&ptag=QstscanPB&fag4=45&av=<текстовая строка>&uqjm53=0700&product=0&na4=652&as=<текстовая строка>
- Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" с параметрами:
/c ping 127.0.0.1 -n 2 && del "<полный путь к оригинальному файлу троянца>"
После этого троянец завершает свою работу.
На момент создания описания по вышеуказанной ссылке загружался файл размером 715598 байт, детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Zwangi.hef".
Загруженный файл предназначен для установки на зараженном компьютере рекламного программного обеспечения, которое способно отслеживать поисковые запросы, вводимые пользователем в адресной строке браузеров "Internet Explorer" и "Google Chrome". В ответ на запрос пользователю выдается список ссылок, получаемый с сервера злоумышленника. Окно, открываемое инсталлятором после запуска, имеет вид:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- При помощи ("Диспетчера задач") завершить процесс "setup.exe".
- Удалить файл:
%Temp%\stb
.tmp\setup.exe - Удалить каталог:
%Temp%\stb
.tmp - Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: 2DADCA8E1B0EE22493E3331EFCE9C4C5
SHA1: D7CA6BDFBC52AF8750B98F9FAA6FBBFD03E36C8D
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей