RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Small.jkz
| Время детектирования | 21 мар 2009 13:03 MSK |
| Время выпуска обновления | 21 мар 2009 16:47 MSK |
| Описание опубликовано | 10 сен 2009 17:17 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 10240 байт. Написана на C++.
Деструктивная активность
После запуска троянец собирает данные о зараженной системе и отправляет на сервер злоумышленника:
000C-29CB-BE24&ver=123&os=WindowsXP
Данным запросом передается MAC-адрес и версию операционной системы.
После этого закачивает список ссылок с адреса:
http://l.sf***.com/list.txt
Данный список сохраняется под случайным именем в системном каталоге Windows:
%System%\<rnd>.DAT
Где <rnd> — случайное число.
На момент создания описания список выглядел так:
http://u4.***ture.cn/gb/B1.exe http://u4.***ture.cn/gb/B5.exe http://u4.***ture.cn/gb/B6.exe http://u4.***ture.cn/gb/B2.exe http://u4.***ture.cn/gb/B3.exe http://u4.***ture.cn/gb/B4.exe http://u4.***ture.cn/gb/B7.exe http://u4.***ture.cn/gb/B8.exe http://u3.***ture.cn/lm/S8.exe http://u3.***ture.cn/lm/S1.exe http://u3.***ture.cn/lm/S3.exe http://u3.***ture.cn/lm/S15.exe http://u3.***ture.cn/lm/S9.exe http://u2.***ture.cn/gz/G3.exe http://u2.***ture.cn/gz/G10.exe http://u2.***ture.cn/gz/G1.exe http://u2.***ture.cn/gz/G5.exe http://u2.***ture.cn/gz/G31.exe http://u2.***ture.cn/gz/G4.exe http://u2.***ture.cn/gz/G36.exe http://u2.***ture.cn/gz/G37.exe http://u2.***ture.cn/gz/G32.exe http://u2.***ture.cn/gz/G35.exe http://u2.***ture.cn/gz/G20.exe http://u2.***ture.cn/gz/G21.exe http://u2.***ture.cn/gz/G15.exe http://u2.***ture.cn/gz/G22.exe http://u2.***ture.cn/gz/G12.exe http://u2.***ture.cn/gz/G9.exe http://u9.***ture.cn/cj/1a.exe http://u9.***ture.cn/cj/csj.exe http://u9.***ture.cn/cj/a2.exe http://u9.***ture.cn/cj/a10.exe http://u9.***ture.cn/cj/a6.exe http://u9.***ture.cn/cj/q1.exe http://u9.***ture.cn/cj/q2.exe http://u9.***ture.cn/cj/csj1.exe http://u9.***ture.cn/cj/a8.exe
Файлы сохраняются в системном каталоге Windows под такими же именами:
%System%/B1.exe %System%/B5.exe %System%/B6.exe %System%/B2.exe %System%/B3.exe %System%/B4.exe %System%/B7.exe %System%/B8.exe %System%/S8.exe %System%/S1.exe %System%/S3.exe %System%/S15.exe %System%/S9.exe %System%/G3.exe %System%/G10.exe %System%/G1.exe %System%/G5.exe %System%/G31.exe %System%/G4.exe %System%/G36.exe %System%/G37.exe %System%/G32.exe %System%/G35.exe %System%/G20.exe %System%/G21.exe %System%/G15.exe %System%/G22.exe %System%/G12.exe %System%/G9.exe %System%/1a.exe %System%/csj.exe %System%/a2.exe %System%/a10.exe %System%/a6.exe %System%/q1.exe %System%/q2.exe %System%/csj1.exe %System%/a8.exe
Данные файлы детектируются Антивирусом Касперского как различные версии семейства Trojan-GameThief.Win32.OnLineGames.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Удалить файлы, закачанные троянцем:
%System%\<rnd>.DAT %System%/B1.exe %System%/B5.exe %System%/B6.exe %System%/B2.exe %System%/B3.exe %System%/B4.exe %System%/B7.exe %System%/B8.exe %System%/S8.exe %System%/S1.exe %System%/S3.exe %System%/S15.exe %System%/S9.exe %System%/G3.exe %System%/G10.exe %System%/G1.exe %System%/G5.exe %System%/G31.exe %System%/G4.exe %System%/G36.exe %System%/G37.exe %System%/G32.exe %System%/G35.exe %System%/G20.exe %System%/G21.exe %System%/G15.exe %System%/G22.exe %System%/G12.exe %System%/G9.exe %System%/1a.exe %System%/csj.exe %System%/a2.exe %System%/a10.exe %System%/a6.exe %System%/q1.exe %System%/q2.exe %System%/csj1.exe %System%/a8.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic StartPage!bb (McAfee) - Mal/Generic-A (Sophos)
- Adware/Startpage.
CTK (Panda) - W32/Heuristic-210!Eldorado (FPROT)
- Trojan:
Win32/Startpage. WC (MS(OneCare)) - BackDoor.
Pigeon. 1604 (DrWeb) - Trojan.
Resun. 558 (DrWeb) - Win32/TrojanDownloader.
Adload. NFC trojan (Nod32) - Trojan.
Generic. 2668744 (BitDef7) - Packed/NSPack (VirusBuster)
- Win32:
Trojan-gen (AVAST) - Trojan.
Rincux (Ikarus) - SHeur2.
WVI (AVG) - pp0080.
exe <<< TR/Agent. 49152 (AVIRA) - Downloader (NAV)
- Malware.
HOLQ (Norman) - Trojan.
Win32. Generic. 51E940DE (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей