RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Adload.ntp
| Время детектирования | 27 янв 2010 23:38 MSK |
| Время выпуска обновления | 28 янв 2010 04:35 MSK |
| Описание опубликовано | 27 фев 2010 10:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 25600 байт. Упакована UPX. Распакованный размер – около 55 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%\swchost.exeДля автоматического запуска созданной копии при каждом следующем старте системы троянец создает следующие ключи системного реестра:
"swchost.exe" = "%System%\swchost.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"swchost.exe" = "%System%\swchost.exe"
Деструктивная активность
После запуска троянец в бесконечном цикле загружает из сети Интернет файл по следующей ссылке:
2.1.2.r6380/000012_wvr/mvbup.exe
C:\dfghfghgfj.exeНа момент создания описания по вышеуказанной ссылке загружался файл размером 651264 байта; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.GamezTar.b".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "swchost.exe".
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"swchost.exe" = "%System%\swchost.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"swchost.exe" = "%System%\swchost.exe" - Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\swchost.exe C:\dfghfghgfj.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx!mme (McAfee) - Mal/Generic-A (Sophos)
- DLOADER.
Trojan (DrWeb) - unknown NewHeur_PE virus (Nod32)
- Generic.
Malware. Sdld. FBD7EA8D (BitDef7) - Trojan.
DL. Adload. IUL (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan-Downloader.
Win32. Adload (Ikarus) - Generic16.
APXS (AVG) - TR/Downloader.
Gen (AVIRA) - W32/Malware.
LCVI (Norman) - Trojan.
DL. Win32. Downloader. GEN [Suspicious] (Rising) - Trojan-Downloader.
Win32. Adload. ntp [AVP] (FSecure) - Trojan.
DL. Adload. IUL (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей