RSS-каналы
Уровень опасности: 1
Trojan.Win32.Agent2.ejm
| Время детектирования | 27 фев 2009 21:41 MSK |
| Время выпуска обновления | 28 фев 2009 01:32 MSK |
| Описание опубликовано | 16 сен 2009 11:36 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 77824 байта. Упакован неизвестным упаковщиком. Распакованный размер — около 105 КБ. Написана на С++.
Инсталляция
После запуска троянец копирует свой оригинальный файл в системный каталог Windows с именем:
%System%\<rnd>.exe
где rnd — случайное имя файла, например, "naiP3G13".
Затем троянец добавляет в планировщик заданий повторяющееся задание на запуск файла троянца.
Деструктивная активность
Далее вредонос изменяет настройки браузера Internet Explorer, изменяя следующие параметры в ключе системного реестра:
"DisableScriptDebuggerIE"="yes"
"Error Dlg Displayed On Every Error"="no"
Для контроля уникальности своего процесса в системе троянец создает уникальные идентификаторы: "GAfdij3f ", "4Uv0o3TxYy", " g0VyOt1X ","RasPbFile". Также троянец собирает системную информацию:
- Серийный номер жесткого диска;
- Идентификационный номер копии Windows;
- Имя компьютера.
И сохраняет собранные данные в зашифрованном виде в файле с именем:
%Temp%\<rnd>.dat
где rnd — случайная цифробуквенная последовательность. Далее вредонос генерирует ссылку, по которой выполняет обращение к удаленному серверу:
6e575a6c07716d9e526c90b9ef5c8d0588e2186b787&b=382&c=2
Загруженный по ссылке файл, сохраняется троянцем в каталоге временного хранения файлов текущего пользователя, под случайным именем:
%Temp%\<rnd>.exe
где rnd — случайная цифробуквенная последовательность. Затем запускается вредоносом на выполнение. На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить параметр в ключе реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Error Dlg Displayed On Every Error"="no" - Удалить файлы:
%System%\<rnd>.exe
где rnd — случайное имя файла, например, " naiP3G13". - Очистить каталог хранения временных файлов: %Temp%\
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Trojan:
Generic Dropper. cx (McAfee) - Mal/EncPk-CZ (Sophos)
- Trj/Downloader.
VME (Panda) - Trojan.
DownLoad. 25695 (DrWeb) - Win32/TrojanDownloader.
Zlob. CZL trojan (Nod32) - Trojan.
FakeAlert. AYI (BitDef7) - Win32:
Trojan-gen {Other} (AVAST) - Trojan.
Win32. Agent2 (Ikarus) - SHeur2.
SYA (AVG) - TR/Agent2.
ejm (AVIRA) - Downloader (NAV)
- W32/Agent.
LVNE (Norman) - Trojan.
Win32. Nodef. ekw (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей