RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.akap
| Время детектирования | 15 янв 2010 23:34 MSK |
| Время выпуска обновления | 20 янв 2010 21:07 MSK |
| Описание опубликовано | 26 окт 2010 12:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 21580 байт. Упакована PE_Patch, UPack. Распакованный размер – около 283 КБ. Написана на C++.
Деструктивная активность
После запуска троянец для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
__NBA_MUTEX_0__Также в корне диска C: создается каталог:
C:\<rnd>где <rnd> – восьмизначное шестнадцатеричное число, сформированное на основании текущего системного времени.
Каталог создается с атрибутами "скрытый" (hidden) и "системный" (system). Если в системе найден драйвер с именем "ProtectedC.sys", троянец извлекает из своего тела следующий файлы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\human.exe(4096 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.yaa")
\\.\Root#RCVYL#0000#KsecDD\%System%\mmc.exe(4096 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.yaa")
\\.\Root#RCVYL#0000#KsecDD\%System%\user32.dll(4096 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Patched.dz")
\\.\Root#RCVYL#0000#KsecDD\%System%\winhlp32.exe(4096 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.xxg")
Если в системе присутствует драйвер "hintFD.sys", то троянец выполняет следующие действия:
- извлекает из своего тела библиотеку, которая сохраняется как
C:\<rnd>\<rnd>.dll
(4608 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.yki") - Вызывает из извлеченной библиотеки функцию с именем "HookEnter".
- Извлекает из своего тела файлы:
\\.\HintZ0\%System%\mmc.exe \\.\HintZ0\%System%\user32.dll \\.\HintZ0\%System%\winhlp32.exe \\.\HintZ3\%System%\mmc.exe \\.\HintZ3\%System%\user32.dll \\.\HintZ3\%System%\winhlp32.exe
Файлы аналогичны вышеописанным. - Вызывает из извлеченной библиотеки "<rnd>.dll" функцию "HookLeave", и удаляет данную библиотеку. Кроме того, троянец выполняет следующие действия:
- останавливает системную службу "Beep", и подменяет ее бинарный файл:
%System%\drivers\beep.sys
файлом, извлеченным из собственного тела. Файл имеет размер 13696 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.xxh" Затем троянец возобновляет работу службы. - Восстанавливает оригинальное содержимое файла:
%System%\drivers\beep.sys
- Загружает из сети Интернет файл по следующей ссылке:
http://www.m***8.cn/new.txt (На момент создания описания ссылка не работала)
Файл сохраняется в системе какC:\<rnd>\<rnd>
и содержит ссылки для загрузки на зараженный компьютер других вредоносных файлов. По полученным ссылкам троянец загружает файлы, сохраняя их в каталоге "C:\<rnd>" под случайными именами. В случае успешной загрузки файлы запускаются на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить каталог " C:\<rnd>" и все его содержимое.
- Удалить созданные троянцем файлы:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\human.exe \\.\Root#RCVYL#0000#KsecDD\%System%\mmc.exe \\.\Root#RCVYL#0000#KsecDD\%System%\user32.dll \\.\Root#RCVYL#0000#KsecDD\%System%\winhlp32.exe \\.\HintZ0\%System%\mmc.exe \\.\HintZ0\%System%\user32.dll \\.\HintZ0\%System%\winhlp32.exe \\.\HintZ3\%System%\mmc.exe \\.\HintZ3\%System%\user32.dll \\.\HintZ3\%System%\winhlp32.exe
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Mal/DwnLd-B (Sophos)
- Trojan.
Downloader-56895 (ClamAV) - W32/SuspPack.
C. gen!Eldorado (FPROT) - Trojan:
Win32/Glox. gen!damaged (MS(OneCare)) - Win32/Kryptik.
AE trojan (Nod32) - Trojan.
Generic. 475601 (BitDef7) - Packed/Upack (VirusBuster)
- Win32:
Trojan-gen (AVAST) - Backdoor.
Win32. Popwin (Ikarus) - Crypt.
OV (AVG) - TR/Dropper.
Gen (AVIRA) - W32/Packed_Upack.
A (Norman) - Packer.
Win32. Agent. bb [Suspicious] (Rising) - Trojan-Dropper.
Win32. Agent. akap [AVP] (FSecure) - TROJ_DLOADER.
VXA (TrendMicro) - Trojan.
Win32. Packer. Upack0. 3. 9 (v) (Sunbelt)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей