Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Backdoor.Win32.Small.gzp

Главная / Описания / Backdoor.Win32.Small.gzp

Печать		 Bookmark and Share
Закладки
Время детектирования 23 дек 2008 08:44 MSK
Время выпуска обновления 23 дек 2008 12:21 MSK
Описание опубликовано 25 янв 2010 12:34 MSK
Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 12133 байта. Упакована UPack. Распакованный размер – около 102 КБ. Написана на C++.


Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

%Temp%\~<rnd>.~~~
(32768 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Small.gzp") где <rnd> – случайная последовательность цифр и латинских букв (например: "526fe6a").

Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:

%Temp%\~<rnd>.~~~ test <полный путь к оригинальному файлу троянца>
Таким образом, вызывается функция "test" из извлеченной ранее библиотеки. После этого троянец завершает свою работу.

Извлеченная троянцем библиотека "%Temp%\~<rnd>.~~~" реализует следующий функционал:

  • файл библиотеки копируется в файлы: 
    %System%\csrss.dll
%System%\rpcss.dll
  • Удаляются файлы:
    %System%\ServicePackFiles\i386\rpcss.dll %System%\dllcache\rpcss.dll
  • Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами: 
    %System%\sh14034.ini
    (2880 байт) 
    %System%\sh14034.dll
    (20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf")
  • исполняемый код библиотеки "%System%\sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".
  • Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить файлы: 
    %Temp%\~.~~~ 
%System%\sh14034.ini 
%System%\sh14034.dll
  3. Восстановить оригинальное содержимое файлов: 
    %System%\csrss.dll
%System%\rpcss.dll
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Вредоносные программы
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие модификации

Backdoor.Win32.Small.cz

Backdoor.Win32.Small.eo

Backdoor.Win32.Small.fp

Backdoor.Win32.Small.os

Backdoor.Win32.Small.v

Backdoor.Win32.Small.x

Другие названия

Backdoor.Win32.Small.gzp («Лаборатория Касперского») также известен как:

  • Trojan: PWS-OnlineGames.co (McAfee)
  • Troj/Tidola-Gen (Sophos)
  • W32/Heuristic-KPP!Eldorado (FPROT)
  • PWS:Win32/Tidola.A (MS(OneCare))
  • Trojan.MulDrop.29468 (DrWeb)
  • Win32/PSW.OnLineGames.NRW trojan (Nod32)
  • Backdoor.Generic.139471 (BitDef7)
  • Trojan.DR.OnlineGames.Gen.109 (VirusBuster)
  • Win32:Spyware-gen [Spy] (AVAST)
  • Trojan-GameThief.Win32.OnLineGames (Ikarus)
  • PSW.Generic6.AUWC (AVG)
  • TR/Spy.Gen (AVIRA)
  • Infostealer.Gampass (NAV)
  • W32/Smalldoor.DCPY (Norman)
  • Trojan.PSW.Win32.GameOL.tdz (Rising)
  • Backdoor.Win32.Small.gzp [AVP] (FSecure)
  • TSPY_ONLINEG.IGO (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.DR.OnlineGames.Gen.109 (VirusBusterBeta)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей