RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.mee
| Время детектирования | 28 мар 2008 07:04 MSK |
| Время выпуска обновления | 30 янв 2009 20:59 MSK |
| Описание опубликовано | 06 фев 2009 16:38 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 70 до 260 КБ. Ничем не упакована. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в подкаталог "inetsrv" системного каталога Windows под именем "lsass.exe":
%System%\inetsrv\lsass.exe
Данному файлу присваиваются атрибуты "скрытый" и "только чтение".
Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load" = "%System%\inetsrv\lsass.exe"
Таким образом троянец будет запускаться до входа пользователя в систему.
Также троянец создает в системе уникальный идентификатор «izokraSizokraS» для определения своего присутствия в системе.
Создает ключ реестра:
[HKLM\Software\Microsoft\Internet Explorer\inet.] "Day" = "<дата запуска троянца>"
Деструктивная активность
Троянец копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:
<X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
где <X> - буква диска.
Так же вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Всем созданным файлам присваиваются атрибуты "скрытый" и "только чтение".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить ключ системного реестра:
[HKLM\Software\Microsoft\Internet Explorer\inet.] "Day" = "<дата запуска троянца>"
- Удалить значение параметра ключа:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load" = "%System%\inetsrv\lsass.exe"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\inetsrv\lsass.exe <X>:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe <X>:\autorun.inf
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Exploit.
Win32. Agent. mee («Лаборатория Касперского») - Virus:
W32/Autorun. worm. bba (McAfee) - Mal/Generic-L (Sophos)
- Trojan.
Downloader-57488 (ClamAV) - W32/Downldr2.
DRHH (FPROT) - Win32.
HLLW. Autoruner. 3343 (DrWeb) - Worm.
Generic. 51081 (BitDef7) - Worm.
Autorun. BOA (VirusBuster) - Trojan-Dropper.
Agent (Ikarus) - Downloader.
Agent. AGDT (AVG) - W32/Agent.
GIUM (Norman) - Trojan-Downloader.
Win32. Agent. mee [AVP] (FSecure) - Worm.
Autorun. BOA (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей