RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.ajtw
| Время детектирования | 18 мар 2009 11:43 MSK |
| Время выпуска обновления | 18 мар 2009 15:44 MSK |
| Описание опубликовано | 14 сен 2010 17:17 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 20992 байта. Упакована UPX. Распакованный размер – около 55 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%WinDir%\Fonts\wuauclt.exeДля автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
"360safe" = "%WinDir%\Fonts\wuauclt.exe"
Деструктивная активность
После запуска троянец для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
318111После этого троянец запускает 3 параллельно выполняющихся потока:
- в первом потоке создаются следующие ключи системного реестра:
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}Каждые 30 минут в браузере Internet Explorer открывается сайт:
\shell\OpenHomePage\Command]
"(Default)" = ""%Program Files%\Internet Explorer\iexplore.exe"
moneymoney888.com"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"http://jo***iao7749.com/
- Во втором потоке из тела троянца извлекается файл:
%WinDir%\Downloaded Program Files\alg.exe
(3740 байт; детектируется Антивирусом Касперского как "Exploit.Win32.IMG-WMF.fk") Далее извлеченный файл запускается с параметром:http://g.w***8.com/xx.exe
- В третьем потоке из тела троянца извлекается файл:
%WinDir%\Fonts\TIMPIatform.exe
(10378 байт; детектируется Антивирусом Касперского как "Trojan-Dropper.Win32.Small.cxi")
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command]
"(Default)" = ""%Program Files%\Internet Explorer\iexplore.exe"
moneymoney888.com"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1" - Удалить файлы:
%WinDir%\Fonts\wuauclt.exe %WinDir%\Downloaded Program Files\alg.exe %WinDir%\Fonts\TIMPIatform.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Rootkit.
Win32. Tiny. bd («Лаборатория Касперского»)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».