Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Downloader.Win32.Mazahaka.a

Trojan-Downloader.Win32.Mazahaka.a

Время детектирования 31 май 2009 08:55 MSK
Время выпуска обновления 31 май 2009 12:36 MSK

Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.

Резюме


Технические детали

Имеет размер 246272 байт.


Инсталляция

Создает следующие файлы на зараженном компьютере:

  • Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\129984_ (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.cjde)
  • Каталог ОС Windows (обычно, C:\Windows)%Windir%\justkitdl.dll (­детектируется антивирусом Касперского как­ Trojan.Win32.Agent.cjde)
  • Каталог ОС Windows (обычно, C:\Windows)%Windir%\Tasks\9 (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.Agent.bqpo)
  • Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\21023.dll (­детектируется антивирусом Касперского как­ Trojan-Downloader.Win32.Agent.cfgg)
  • Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\justkit.gif


Вредоносная активность

Создает следующие файлы:

  • Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1990 (­детектируется антивирусом Касперского как­ Rootkit.Win32.Agent.kxd)

Следующие файлы запускаются на исполнение:

  • Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1990

Для защиты от антивирусных и других программ, обеспечивающих безопасность компьютера, пытается принудительно завершить их исполнениеВыгружает из памяти следующие процессы антивирусных и других средств защиты:

  • ­360Tray­

Внедряет свой код в следующие процессы:

  • <­файл исходной программы­>

Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "Hidden" = "0x2"

Описание:
­Включает/выключает отображение скрытых и системных файлов­

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "ShowSuperHidden" = "0x0"

С целью препятствия работе антивирусных средств удаляет (или изменяет) следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe ] "Debugger" = "svchost.exe"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe ] "Debugger" = "svchost.exe"

Описание:
­Rising AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe ] "Debugger" = "svchost.exe"

Описание:
­Kaspersky AntiVirus­

Создает соединение со следующими адресами в Интернете:

  • ***.12.80.133:20480

Обращается к следующим адресам в Интернете:

  • http://***.dllqvod.com/hexie/kk5b.txt

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

  • ­строка содержит нечитаемые символы­
  • uytjkl


Прочие действия

Производит запуск следующих файлов (команд):

  • Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\IEXPLORE.EXE http://tongji.maxjust555.cn/newcnzz/5000a.htm?mac=-1878068295&os=windowsXP&ver=20090601&id=-2087974785.6

Устанавливает следующие системные службы (драйвера):
Имя службы:io
Отображаемое имя службы:io
Параметры запуска: Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1990
Тип запуска:­по требованию­

Изменяет состояние следующих системных служб:
Имя службы:io
Отображаемое имя службы:io
Параметры запуска: Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1990

Ищет следующие окна:
Класс:AfxControlBar42s

Выгружает из памяти следующие процессы:

  • C:\KLADStatTemp\35513

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ] "SuperHidden" = "0x1"

Удаляет следующие файлы на зараженном компьютере:

  • Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\1990
  • Каталог ОС Windows (обычно, C:\Windows)%Windir%\justkitdl.dll



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.


Другие названия

Trojan-Downloader.Win32.Mazahaka.a («Лаборатория Касперского») также известен как:

  • Trojan-Downloader.Win32.Agent.cdam («Лаборатория Касперского»)
  • Trojan: Generic.dx!uel (McAfee)
  • Mal/Dropper-G (Sophos)
  • Trojan.Downloader-74252 (ClamAV)
  • W32/Downldr2.GBVR (FPROT)
  • BackDoor.IRC.Combot (DrWeb)
  • Win32/Injector.AQ trojan (Nod32)
  • Trojan.Generic.2239492 (BitDef7)
  • processing error (VirusBuster)
  • Win32:Sramler-T [Drp] (AVAST)
  • Trojan-Downloader.Win32.Mazahaka (Ikarus)
  • Downloader.Generic10.AYKI (AVG)
  • Downloader (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • TROJ_DROPER.SMM (TrendMicro)
  • Trojan.DL.Mazahaka!VzVJwUTAqng (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск