RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Tiny.ajw
| Время детектирования | 06 мар 2008 09:07 MSK |
| Время выпуска обновления | 06 мар 2008 12:23 MSK |
| Описание опубликовано | 28 дек 2010 16:01 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 11264 байт. Упакована неизвестным упаковщиком. Написана на С++.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системный каталог Windows под именем:
%System%\v<rnd>.exeгде rnd - случайное десятичное число. Затем запускает копию своего файла на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "syswin"="%System%\v<rnd>.exe"
Деструктивная активность
После этого вредонос пытается выполнить загрузку файла, который размещается по ссылке:
http://zer***ace.com/gettime.phpи сохранить загруженный файл с именем:
С:\gettime.txtНа момент создания описания ссылка не работала. Далее троянец считывает содержимое файла "gettime.txt" и производит удаление файла. Содержимое файла сохраняется в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion] "d"="содержимое_загруженного_файла"Создает экземпляр компонента "InternetExplorer.Application". Также вредонос отправляет HTTP запрос по ссылке:
http://zer***ace.com/firststart.php
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "iexplore.exe".
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion] "d"="содержимое_загруженного_файла"
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx (McAfee) - Troj/Nonaco-Gen (Sophos)
- Trojan.
Genlot-12 (ClamAV) - Adware/DriveCleaner (Panda)
- W32/Agent.
BA. gen!Eldorado (FPROT) - Trojan:
Win32/SystemHijack. gen (MS(OneCare)) - Trojan.
Click. origin (DrWeb) - Win32/TrojanClicker.
Agent. NBL (Nod32) - Trojan.
Genlot. LH (BitDef7) - Win32:
Agent-FRX (AVAST) - Clicker.
ILM (AVG) - TR/Genlot.
LH (AVIRA) - Backdoor.
Trojan (NAV) - Generic.
dx (NAI) - TROJ_DLOADER.
OZ (PCCIL)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей