RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Mufanom.hjo
| Время детектирования | 28 янв 2010 11:18 MSK |
| Время выпуска обновления | 28 янв 2010 18:12 MSK |
| Описание опубликовано | 15 июл 2010 18:23 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, скрытно устанавливающая нежелательное и вредоносное программное обеспечение на компьютере пользователя. Является приложением Windows (PE-EXE файл). Упакованный размер - 40448 байт. Размер распакованного файла – около 44 КБ. Написана на C++.
Деструктивная активность
После запуска, создаёт свою копию как
%Windir%\<rnd>.dllгде <rnd> - случайная последовательность из 6-8 латинских букв и цифр.
Время создания и время последней модификации для данного файла устанавливаются равными времени системных файлов (user32.dll, explorer.exe и т.д.) . Файл подписан компанией Snell & Wilcox.
Запускает процесс rundll32.exe с командной строкой
%Windir%\<rnd>.dll, StartupСоздает ключ реестра для хранения собственных параметров
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\<rnd>где <rnd> - случайная последовательность латинских букв.
В данном ключе создает 4 значения со случайными именами.
Обеспечивает автозапуск через изменение значения
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa\] Notification Packages = <rnd>.dllгде <rnd>.dll - имя собственной копии в %Windir%
При изменении или удалении созданных ключей и значений, восстанавливает их.
От имени процесса explorer.exe загружает файлы по следующим URL:
******da04**.bougum.com\get.php? c=NVONLJOB&d=<seq> ******da04**.lantzel.com\get.php? c=NVONLJOB&d=<seq>где <seq> - последовательность шестнадцатеричных цифр
(на момент создания описания ссылки не работали)
После успешной загрузки файл сохраняется как
%Windir%\<rnd>.dllгде <rnd> - случайная последовательность латинских букв. После чего загруженный файл исполняется в процессе rundll32.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Остановить процесс
rundll32.exe
- Остановить процесс
lsass.exe
- Удалить имя вредоносной библиотеки из значения Notification Packages ключа
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
- Перезагрузить систему
- Удалить исходный файл троянца и все файлы, созданные им в каталоге %Windir%
- Удалить ключ реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\<rnd>
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx!ntq (McAfee) - Mal/Hiloti-C (Sophos)
- Trojan:
Win32/Hiloti. gen!D (MS(OneCare)) - Trojan.
DownLoad1. 32745 (DrWeb) - Win32/Cimag.
BR trojan (Nod32) - Trojan.
Generic. 2999378 (BitDef7) - Trojan.
DL. Mufanom. BQB (VirusBuster) - Win32:
Hiloti-O [Trj] (AVAST) - Trojan.
Hiloti (Ikarus) - Hiloti.
L (AVG) - TR/Hiloti.
40448D. 15 (AVIRA) - Trojan.
Zefarch!gen (NAV) - Trojan-Downloader.
Win32. Mufanom. hjo [AVP] (FSecure) - TROJ_MUFANOM.
AO (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
DL. Mufanom. BQB (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей