RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.zlo
| Время детектирования | 12 ноя 2008 23:19 MSK |
| Время выпуска обновления | 13 ноя 2008 02:48 MSK |
| Описание опубликовано | 16 сен 2009 11:42 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие вредоносные программы и запускающая их на выполнение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 18540 байт. Упакована при помощи Upack. Распакованный размер — около 149 КБ. Написана на C++.
Деструктивная активность
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
mscongmutexx
Троянец отключает следующие службы:
lanmanserver
Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети.
Browser
Данная служба обслуживает список компьютеров в сети и выдает его программам по запросу.
Далее троянец извлекает из своего тела файл во временный каталог текущего пользователя Windows под именем "suchots.exe":
%Temp%\suchots.exe
Данный файл имеет размер 5120 байта и детектируется Антивирусом Касперского как Exploit.Win32.IMG-WMF.fk. После активации эксплоит, используя уязвимость "MS08-067" (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), производит загрузку файла со следующего URL:
http://*****866.org:8808/a/mm.exe
Данный файл имеет размер 38972 байта и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.bkzf.
Загруженный файл сохраняется в рабочий каталог троянца под оригинальным именем, после чего запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить вредоносный процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%\suchots.exe %Work%\mm.exe
- Восстановить работу служб:
lanmanserver Browser
- Установить обновления:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- W32/Gimmiv.
C. worm (Panda) - W32/SuspPack.
C. gen!Eldorado (FPROT) - Trojan.
MulDrop. 23053 (DrWeb) - Win32/Kryptik.
ATY trojan (Nod32) - Trojan.
Generic. 5064854 (BitDef7) - Packed/Upack (VirusBuster)
- Win32:
Malware-gen (AVAST) - Trojan.
Win32. Obfuscated (Ikarus) - Dropper.
Agent. KVU (AVG) - TR/Drop.
Agent. Zlo. 2 (AVIRA) - Trojan.
Dropper (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Cryp_Xed-12 (TrendMicro)
- Packed/Upack (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей