RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Grizl.li
| Время детектирования | 22 янв 2010 21:46 MSK |
| Время выпуска обновления | 23 янв 2010 02:35 MSK |
| Описание опубликовано | 11 мар 2010 14:59 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 22688 байт.
Деструктивная активность
После запуска троянец создает в каталоге хранения временных файлов пользователя BAT – файл:
%Temp%\~AR<rnd>.bat
где rnd – случайная цифровая последовательность
при помощи которого, производит удаление из системного каталога файла:
%System%\verclsid.exe
Затем копирует свой исполняемый файл под следующим именем:
%WinDir%\Fonts\MSar12D40003exe.ttf
Устанавливает файлу атрибуты "Скрытый" и "Системный ". Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "12D4-B0CF". Также пытается найти и завершить процесс с именем "zhengtu.dat". Далее вредонос извлекает из своего тела в системный каталог библиотеку с именем:
%System%\ss12D40003dll.dll
Данный файл имеет размер 456192 байта. Устанавливает файлу атрибуты "Скрытый", "Системный ", "Архивный". Для автоматического запуска библиотеки при следующем старте Windows, троянец добавляет ссылку в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"="ss12D40003dll.dll"
В завершении, троянец создает в каталоге хранения временных файлов пользователя еще один BAT – файл:
%Temp%\~AR<rnd>.bat
после запуска которого происходит самоудаление оригинального файла троянца.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить параметр в ключе реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="ss12D40003dll.dll" - Удалить файлы:
%WinDir%\Fonts\MSar12D40003exe.ttf %System%\ss12D40003dll.dll %Temp%\~AR<rnd>.bat
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan:
PWS-Mmorpg!lp (McAfee) - Mal/EncPk-HM (Sophos)
- Trojan.
Downloader-84908 (ClamAV) - Trj/Krap.
Y (Panda) - W32/Dropper.
ANGS (FPROT) - TrojanDropper:
Win32/Lolyda. F (MS(OneCare)) - Trojan.
PWS. Gamania. 22629 (DrWeb) - Win32/PSW.
OnLineGames. NYT trojan (Nod32) - Trojan.
Generic. 3000613 (BitDef7) - Trojan.
DR. Lolyda. AHV (VirusBuster) - Win32:
Dogkild-B [Wrm] (AVAST) - Trojan-GameThief.
Win32. Lmir (Ikarus) - TR/Crypt.
XPACK. Gen (AVIRA) - Infostealer.
Gampass (NAV) - W32/OnlineGames!gens.
25032594 (Norman) - Trojan.
PSW. Win32. GameOnline. gcv (Rising) - Trojan-Dropper.
Win32. Grizl. li [AVP] (FSecure) - TSPY_ONLINEG.
SMA (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
DR. Lolyda. AHV (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей