Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.JS.Agent.jp

Trojan.JS.Agent.jp

Время детектирования	11 янв 2009 18:29 MSK
Время выпуска обновления	12 янв 2009 03:25 MSK
Описание опубликовано	22 сен 2009 13:18 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является файлом сценария языка Visual Basic Script. Имеет размер 8432 байта.

Инсталляция

После запуска троянец производит расшифровку своего тела, для этого он создает свою расшифрованную версию с именем "<rnd>.tmp" (где <rnd> — набор случайных цифр и больших латинских букв, например, "radDC8RP"):

%Temp%\<rnd>.tmp

Данный файл имеет размер 7229 байт и детектируется антивирусом Касперского как Worm.VBS.Agent.w.

Троянец создает копии своего оригинального тела во всех каталогах и подкаталогах всех дисков компьютера пользователя, а также в следующем каталоге:

%MyDocuments%\database.mdb

В тех же каталогах троянец создает файл:

autorun.inf

Данный файл имеет размер 237 байт и детектируется антивирусом Касперского как Worm.Win32.AutoRun.wuw.

Этот файл предназначен для автоматического запуска троянца при обращении к зараженным каталогам через проводник Windows после перезагрузки системы.

В зависимости от текущей даты троянец может создать копии своего оригинального тела во всех подкаталогах каталога:

%MyDocuments%

а также в самом каталоге со следующими именами:

My name is Yuyun.rtf
Baca AQ.rtf

Троянец распространяется по сети, создавая свои копии во всех подкаталогах каталога:

%NetHood% (это каталог файловой системы, хранящий файловые объекты "Сетевого окружения")

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "Wscript.exe //e:VBScript %MyDocuments%\database.mdb"

Если на диске C: компьютера пользователя использовалась файловая система "NTFS", тогда троянец создает свою копию с именем "Microsoft Office Update for Windows XP.sys":

%WinDir%\Microsoft Office Update for Windows XP.sys

и записывает следующую информацию в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate" = "Wscript.exe //e:VBScript %WinDir%\Microsoft Office Update for Windows XP.sys"

Троянец также может распространяться через зараженные CD диски, для этого он создает свою копию, а также файл его автозапуска в следующем каталоге:

%ApplicationData%\Microsoft\CD Burning\thumb.db
%ApplicationData%\Microsoft\CD Burning\autorun.inf

Всем копиям троянца, а также файлам его автозапуска устанавливаются атрибуты "Только чтение", "Скрытый", "Архивный" и "Системный".

Деструктивная активность

Троянец создает во временном каталоге текущего пользователя Windows пустой файл с именем "Yuyun.Q":

%Temp%\Yuyun.Q

После этого троянец создает файл с именем "auto.exe":

%Temp%\auto.exe

Данный файл имеет размер 237 байт и детектируется антивирусом Касперского как Worm.Win32.AutoRun.wuw.

Затем троянец создает файл "v.doc":

%Temp%\v.doc

Если троянец был запущен на исполнение впервые, а также в зависимости от текущей даты, данный файл открывается с использованием приложения "notepad.exe". Этот файл выглядит следующим образом:

Yuyun Ver 1.0 ^_^!==================

Bukan dari tulang ubun ia dicipta
karna berbahaya membiarkannya dalam sanjung dan puja
tak juga dari tulang kaki
karna nista membuatnya diinjak dan diperbudak
tapi dari tulang rusuk bagian kiri
dekat ke hati untuk disayangi
dekat ke tangan untuk dilindungi

(dikutip dr: Agar Bidadari Cemburu Padamu)

"Janganlah kamu bersikap lemah, dan janganlah (pula) kamu bersedih hati, padahal kamulah
orang-orang yang paling tinggi (derajatnya), jika kamu orang-orang yang beriman."
(QS. Ali Imran:139)

Katakanlah kepada orang laki-laki yang beriman: "Hendaklah mereka menahan pandanganya,
dan memelihara kemaluannya; yang demikian itu adalah lebih suci bagi mereka,
sesungguhnya Allah Maha Mengetahui apa yang mereka perbuat." (QS. An Nur:30)

Katakanlah kepada wanita yang beriman: "Hendaklah mereka menahan pandangannya,
dan kemaluannya, dan janganlah mereka menampakkan perhiasannya, kecuali yang
(biasa) nampak dari padanya. Dan hendaklah mereka menutupkan kain kudung
kedadanya...." (QS. An Nur:30)

Sorry I just Nitip Print thok....Ndak pa2 khan^_^! www.muslimah.or.id

Hai anak Adam, sesungguhnya Kami telah menurunkan kepadamu
pakaian untuk menutup auratmu dan pakaian indah untuk perhiasan.
Dan pakaian takwa itulah yang paling baik. Yang demikian itu adalah
sebahagian dari tanda-tanda kekuasaan Allah, mudah-mudahan mereka selalu ingat.(Al-A'raf:26)

Во всех каталогах и подкаталогах всех дисков компьютера пользователя троянец создает ярлыки с именами подкаталогов находящихся в этих каталогах, файл-ярлык с именем "Microsoft.lnk", а также файл с одним из следующих имен, зависящий от текущей даты:

New Harry Potter and....lnk
New Folder.lnk
SuratQ.lnk
Rahasia.lnk
Game.lnk
Zvnita.lnk
Download.lnk
DataQ.lnk

При запуске данных файлов-ярлыков на исполнение будут запускаться копии файла троянца, а также каталог с именем файла-ярлыка, если же каталога с именем файла-ярлыка не существовало, тогда троянец создает таковой.

Далее троянец записывает следующую информацию в системный реестр:

Блокирует доступ к системному реестру Windows:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistrytools" = "REG_DWORD:00000001"
Скрывает расширения для файлов-ярлыков, удалив ключ:
```
 [HKCR\lnkfile\IsShortcut] 
```

Если на момент запуска троянца было 1 число любого месяца, тогда троянец записывает следующую информацию в ключи системного реестра:

[HKCR\CLSID\{11111111-2222-3333-4444-555555555555}]
"(default)" = "Yuyun_Cantix"

[HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon]
"(default)" = "shell32.dll,48"

[HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\ShellFolder]
"Attributes" = "REG_DWORD:00000000"

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\
{11111111-2222-3333-4444-555555555555}"

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить процесс:
```
Wscript.exe
```
Выполнить следующую команду в командной строке для доступа к редактору реестра:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить файлы:

%MyDocuments%\database.mdb
%MyDocuments%\My name is Yuyun.rtf
%MyDocuments%\Baca AQ.rtf
%Temp%\v.doc
%Temp%\Yuyun.Q
%Temp%\auto.exe
%Temp%\<rnd>.tmp
%WinDir%\Microsoft Office Update for Windows XP.sys
%ApplicationData%\Microsoft\CD Burning\thumb.db
%ApplicationData%\Microsoft\CD Burning\autorun.inf

Удалить параметры в ключах реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "Wscript.exe //e:VBScript %MyDocuments%\database.mdb"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinUpdate" = "Wscript.exe //e:VBScript %WinDir%\:Microsoft Office Update for Windows XP.sys"
Удалить ветвь реестра:
[HKCR\CLSID\{11111111-2222-3333-4444-555555555555}]
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Другие названия

Trojan.JS.Agent.jp («Лаборатория Касперского») также известен как:

Trojan: BackDoor-EHZ (McAfee)
Virus: VBS/Autorun.worm.zo (McAfee)
VBS/AutoRun-UC (Sophos)
VBS.Agent-35 (ClamAV)
VBS/Autorun.IQH (Panda)
W32/MalwareS.AZAI (FPROT)
PWS:Win32/OnLineGames.AH (MS(OneCare))
Worm:VBS/Autorun.T (MS(OneCare))
Trojan.Packed.688 (DrWeb)
Trojan.DownLoad1.29381 (DrWeb)
Trojan.DownLoad.25646 (DrWeb)
Win32.HLLW.Lime.18 (DrWeb)
BackDoor.Poison.744 (DrWeb)
VBS.Generic.544 (DrWeb)
Trojan.Packed.732 (DrWeb)
Trojan.MulDrop.29482 (DrWeb)
Win32.HLLW.Cantix (DrWeb)
multiple threats (Nod32)
VBS/AutoRun.BQ worm (Nod32)
Worm.VBS.AO (BitDef7)
Trojan.Hupigon.Gen!Pac.6 (VirusBuster)
Win32:Malware-gen (AVAST)
VBS:Malware-gen (AVAST)
Trojan.VBS.YunYun (Ikarus)
0a456ffff1d3fd522457c187ebcf41e4 <<< VBS/Yuyun.A (AVIRA)
VBS/Yuyun.A (AVIRA)
VBS.Runauto (NAV)
JS/Autorun.E (Norman)
Trojan.DL.Win32.Undef.rlx (Rising)
Worm.Script.VBS.Yuyun.a (Rising)
Worm:VBS/Autorun.BL [FSE] (FSecure)
Trojan.JS.Agent.jp [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Worm.VBS.Autorun.t (v) (Sunbelt)
Trojan.Hupigon.Gen!Pac.6 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com