RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Adeca.a
| Время детектирования | 15 янв 2010 02:20 MSK |
| Время выпуска обновления | 15 янв 2010 06:46 MSK |
| Описание опубликовано | 10 мар 2010 18:50 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 22504 байта. Упакована PE_Patch, UPack. Распакованный размер – около 692 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%Temp%\~~<rnd1>.~~~
(602112 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.WOW.vxw")%System%\<rnd2>.ini
(2348 байт; является вспомогательным файлом троянца, вредоносного кода не содержит) где <rnd1> и <rnd2> – случайные последовательности цифр и латинских букв (например: "489ca84" и "t329119"). - Запускает системную утилиту "rundll32.exe" со следующими параметрами:
%Temp%\~~<rnd1>.~~~ Install <полный путь к оригинальному файлу троянца>
Это приводит к вызову функции "Install" из извлеченной ранее библиотеки.
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\~~<rnd1>.~~~ %System%\<rnd2>.ini
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan:
PWS-Mmorpg!la (McAfee) - Mal/Generic-A (Sophos)
- W32/Heuristic-210!Eldorado (FPROT)
- PWS:
Win32/Lolyda. AU (MS(OneCare)) - Trojan.
MulDrop. 59104 (DrWeb) - Win32/PSW.
OnLineGames. QHG trojan (Nod32) - Trojan.
Generic. 3745967 (BitDef7) - Packed/Upack (VirusBuster)
- Win32:
Malware-gen (AVAST) - Backdoor.
Win32. Rbot (Ikarus) - Dropper.
Agent. PQG (AVG) - TR/Dropper.
Gen (AVIRA) - Infostealer.
Gampass (NAV) - W32/Packed_Upack.
A (Norman) - Trojan.
Win32. Generic. 51F766EA (Rising) - Trojan-Dropper.
Win32. Adeca. a [AVP] (FSecure) - Cryp_Xed-12 (TrendMicro)
- Trojan.
Win32. Packer. Upack0. 3. 9 (v) (Sunbelt) - Packed/Upack (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей