RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Todon.af
| Время детектирования | 29 окт 2007 06:06 MSK |
| Время выпуска обновления | 29 окт 2007 06:06 MSK |
| Описание опубликовано | 02 ноя 2009 16:39 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 355943 байта. Упакована при помощи AsPack, распакованный размер – около 425 КБ.
Инсталляция
Троянец копирует свой исполняемый файл следующим образом:
%Program Files%\Common Files\Microsoft Shared\<rnd>.exe %Program Files%\Common Files\System\<rnd>.exe %Program Files%\meex.exe
где <rnd> - последовательность из 7 прописных латинских букв.
Так же создает файл:
%Program Files%\<rnd>.inf – 169 байтДля автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <rnd>=%Program Files%\Common Files\System\<rnd>.exe <rnd>=%Program Files%\Common Files\Microsoft Shared\<rnd><rnd>.exeгде <rnd> - последовательность из 7 прописных латинских букв.
Распространение
Троянец копирует свой исполняемый файл в корень следующих разделов:
d:\ e:\ f:\ g:\ h:\ i:\ j:\ k:\ l:\ m:\ n:\ o:\ p:\ q:\ r:\ s:\ t:\ u:\ v:\ w:\ x:\ y:\ z:\с именем следующего вида:
<rnd>.exeгде, <rnd> - последовательность из 7 прописных латинских букв.
Так же вместе со своим исполняемым файлом троянец помещает в корень раздела сопровождающий файл:
<X>:\autorun.inf, где <X> – буква съемного дискакоторый запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Троянец завершает процессы со следующими именами:
Ras.exe avp.com avp.exe runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe Navapsvc.exe Navapw32.exe avconsol.exe webscanx.exe NPFMntor.exe vsstat.exe KPfwSvc.exe RavTask.exe Rav.exe RavMon.exe mmsk.exe WoptiClean.exe QQKav.exe QQDoctor.exe EGHOST.exe 360Safe.exe iparmo.exe adam.exe IceSword.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.com KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe nod32krn.exe PFWLiveUpdate.exe QHSET.exe RavMonD.exe RavStub.exe RegClean.exe rfwcfg.exe RfwMain.exe RsAgent.exe Rsaupd.exe safelive.exe scan32.exe shcfg32.exe SmartUp.exe SREng.EXE symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.exe upiea.exe AST.exe ArSwp.exe USBCleaner.exe rstrui.exeТакже троянец скачивает файлы по следующим ссылкам:
http://www.*****web.com/TDown1.exe http://www.*****web.com/ReadDown.txtНа момент создания описания ни одна из ссылок не работала.
Скачанные файлы сохраняются в папку:
%WinDir%\Program FilesПосле чего запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключе системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <rnd>=%Program Files%\Common Files\System\<rnd>.exe <rnd>=%Program Files%\Common Files\Microsoft Shared\<rnd>.exe
- Удалить файлы:
%Program Files%\Common Files\Microsoft Shared\<rnd>.exe %Program Files%\Common Files\System\<rnd>.exe %Program Files%\meex.exe <rX>:\<rnd>.exe %Program Files%\<rnd>.inf – 169 байт
где X – буква съемного диска. - Удалить папку и все ее содержимое
%WinDir%\Program Files
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Downloader. gen. a (McAfee) - Mal/Behav-270 (Sophos)
- Trojan.
Downloader-27714 (ClamAV) - Trj/Agent.
MGC (Panda) - W32/Downloader.
M. gen!Eldorado (FPROT) - Worm:
Win32/Mocmex. gen!A (MS(OneCare)) - Win32.
HLLW. Autoruner. 1172 (DrWeb) - Win32/Delf.
NEW worm (Nod32) - Trojan.
Agent. AIHV (BitDef7) - Trojan.
DL. Todon. O (VirusBuster) - Win32:
Delf-IHE [Trj] (AVAST) - Backdoor.
Win32. Hupigon (Ikarus) - SHeur.
AGE (AVG) - TR/Agent.
mxa (AVIRA) - W32.
Fanbot. F (NAV) - W32/DLoader.
EERA (Norman) - Downloader.
gen. a (NAI) - TROJ_DLOADER.
UZP (PCCIL) - Worm.
Win32. AvKiller. cg (Rising) - TROJ_DLOADER.
UZP (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей