Trojan-Dropper.Win32.Agent.agya

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 9728 байт. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела библиотеку, которая сохраняется в корневом каталоге диска C: под следующим именем:

C:\rbs.dll

(7680 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Small.buj")

Затем троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:

c:\rbs.dll,RundllTest

Таким образом, осуществляется вызов функции "RundllTest" из излеченной библиотеки.

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

   C:\rbs.dll

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Worm. Создает свои копии на локальных дисках и доступных для записи сетевых ресурсах

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Основной файл является приложением Windows (PE EXE-файл). Имеет размер 27208 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPack.

Методы проникновения

- Подключение к компьютеру зараженного сменного носителя

- Запуск зараженного файла из локальной сети

Инсталляция

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Trojan-Dropper.Win32.Agent.agxq
• Trojan.Win32.KillAV.bos

Вредоносная активность

Помещает в корень каждого диска сопровождающий файл: autorun.inf. Каждый раз, когда пользователь открывает такой раздел при помощи программы "Проводник", запускаются установленные зараженные файлы

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Trojan-Dropper.Win32.Agent.agxz
• Rootkit.Win32.Agent.hdr
• Rootkit.Win32.Agent.htl

Установленные файлы запускаются на исполнение

Изменяет состояние определенных системных служб, имеющих отношение к безопасности компьютера

Модифицирует (удаляет) системные файлы ОС Windows

С целью препятствия работе антивирусных средств удаляет (или изменяет) следующие ключи системного реестра

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

Прочие действия

Загружает файлы по заданным ссылкам и сохраняет их в файловой системе

Выполняет запуск определенных файлов (команд)

Устанавливает системные службы (драйвера)

Изменяет некоторые ключи системного реестра

Описание изменяемых ключей:

• ­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

Удаляет определенные ключи системного реестра

Удаляет определенные параметры ключей системного реестра

Удаляет определенные файлы на зараженном компьютере