RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Small.gzp
| Время детектирования | 23 дек 2008 08:44 MSK |
| Время выпуска обновления | 23 дек 2008 12:21 MSK |
| Описание опубликовано | 25 янв 2010 12:34 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 12133 байта. Упакована UPack. Распакованный размер – около 102 КБ. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:
Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:
Извлеченная троянцем библиотека "%Temp%\~<rnd>.~~~" реализует следующий функционал:
- файл библиотеки копируется в файлы:
%System%\csrss.dll %System%\rpcss.dll
- Удаляются файлы:
%System%\ServicePackFiles\i386\rpcss.dll %System%\dllcache\rpcss.dll
- Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами:
%System%\sh14034.ini
(2880 байт)%System%\sh14034.dll
(20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf") - исполняемый код библиотеки "%System%\sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".
- Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить файлы:
%Temp%\~
.~~~ %System%\sh14034.ini %System%\sh14034.dll - Восстановить оригинальное содержимое файлов:
%System%\csrss.dll %System%\rpcss.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan:
PWS-OnlineGames. co (McAfee) - Troj/Tidola-Gen (Sophos)
- PWS:
Win32/Tidola. A (MS(OneCare)) - Trojan.
PWS. Gamania. 17888 (DrWeb) - Trojan.
MulDrop. origin (DrWeb) - Win32/PSW.
OnLineGames. NRW trojan (Nod32) - Trojan.
Generic. 1861552 (BitDef7) - Trojan.
DR. OnlineGames. Gen. 109 (VirusBuster) - Win32:
Spyware-gen [Spy] (AVAST) - Trojan-GameThief.
Win32. OnLineGames (Ikarus) - PSW.
Generic6. AUWC (AVG) - TR/Spy.
Gen (AVIRA) - Infostealer.
Gampass (NAV) - W32/Suspicious_Gen2.
UEQH (Norman) - Trojan.
PSW. Win32. GameOL. tdz (Rising) - Backdoor.
Win32. Small. gzp [AVP] (FSecure) - TSPY_ONLINEG.
IGO (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
DR. OnlineGames. Gen. 109 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей