RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.qlh
| Время детектирования | 22 май 2008 21:58 MSK |
| Время выпуска обновления | 26 май 2008 12:15 MSK |
| Описание опубликовано | 03 сен 2008 11:36 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на C++.
Деструктивная активность
После запуска троянец удаляет из ключа автозапуска системного реестра следующий параметр:
"updateic"
Затем отправляет запрос на следующий адрес:
В ответ получает доменное имя, на которое производит следующий запрос:
На момент создания описания использовалось имя :
В ответ на запрос троянец получает текущую версию утилиты "vaccinepro" и сравнивает ее с установленной на зараженной машине, получая данные из ключа системного реестра:
"controllerVersion"
Если на зараженной машине не было установлено данной утилиты, то троянец создает каталог:
И загружает туда файл "VaccPD.exe", расположенный по адресу:
Данный файл имеет размер 73728 байт.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключ автозапуска системного реестра:
"VaccP" = "%Program Files%\VaccinePro\VaccPD.exe"
После этого создает и заполняет специальный ключ системного реестра:
"code1" = "winwin"
"code2" = ""
"updateurl" = "*****vaccinepro.co.kr"
"controllerVersion" = "1.1"
"Version" = "1.1"
Затем производит загрузку следующего файла:
Данный файл сохраняется под именем "VaccPU.exe" в созданном каталоге:
%Program Files%\VaccinePro\VaccPU.exe |
– имеет размер 701952 байта |
После чего троянец обращается по адресу:
В ответ получает список файлов, подлежащих загрузке. На момент создания описания список выглядел следующим образом:
http://*****vaccinepro.co.kr/version/bin/vpd.dll
http://*****vaccinepro.co.kr/version/bin/uninst_vcpr.exe
http://*****vaccinepro.co.kr/version/bin/VaccPD.dat
http://*****vaccinepro.co.kr/version/bin/VaccPP.dat
http://*****vaccinepro.co.kr/version/bin/VaccPS.exe
http://*****vaccinepro.co.kr/version/bin/VaccP.exe
http://*****vaccinepro.co.kr/version/bin/VaccPP.exe
Данные файлы сохраняются с соответствующими именами:
%Program Files%\VaccinePro\VaccP.dll |
- имеет размер 40960 байт |
%Program Files%\VaccinePro\vpd.dll |
- имеет размер 511034 байта |
%Program Files%\VaccinePro\uninst_vcpr.exe |
- имеет размер 27484 байта |
%Program Files%\VaccinePro\VaccPD.dat |
- имеет размер 30183 байта |
%Program Files%\VaccinePro\VaccPP.dat |
- имеет размер 30481 байт |
%Program Files%\VaccinePro\VaccPS.exe |
- имеет размер 52602 байта |
%Program Files%\VaccinePro\VaccP.exe |
- имеет размер 30128 байт |
%Program Files%\VaccinePro\VaccPP.exe |
- имеет размер 252416 байт |
После чего троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"VaccP" = "%Program Files%\VaccinePro\VaccPD.exe"
[HKCU\Software\VaccinePro] - Удалить каталог со всем его содержимым:
%Program Files%\VaccinePro
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Mal/Generic-L (Sophos)
- Heuristic.
WinPE-Statistical (Panda) - Trojan.
DownLoader. 29697 (DrWeb) - Win32/TrojanDownloader.
Adload. NGA trojan (Nod32) - Trojan.
Generic. 62868 (BitDef7) - Trojan.
DL. Agent2!VKFgiLb8m/o (VirusBuster) - Win32:
Agent-UAG [Trj] (AVAST) - Trojan-Dropper.
Agent (Ikarus) - Fake_AntiSpyware.
IF (AVG) - TR/Dldr.
Vaccine. A. 1 (AVIRA) - Trojan Horse (NAV)
- W32/Suspicious_Gen2.
DPNQH (Norman) - Trojan.
DL. Win32. Agent. ecs (Rising) - Trojan-Downloader.
Win32. Agent. qlh [AVP] (FSecure) - Trojan.
DL. Agent2!VKFgiLb8m/o (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей