RSS-каналы
Уровень опасности: 1
Trojan.Win32.Agent2.kln
| Время детектирования | 06 июн 2009 13:48 MSK |
| Время выпуска обновления | 06 июн 2009 17:29 MSK |
| Описание опубликовано | 26 окт 2011 14:41 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 11776 байт. Написана на C++.
Деструктивная активность
После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует значению "Russian", то троянец удаляет свой оригинальный файл и завершает свою работу. В противном случае, троянец выполняет внедрение своего вредоносного кода в процесс с именем "Explorer" и загружает из сети Интернет файлы по следующим ссылкам:
http://bewfsnfwka.net/progs/cmjaaoswkk/khhivwne http://aeardyrvgt.com/progs/cmjaaoswkk/khhivwne http://bewfsnfwka.net/progs/cmjaaoswkk/jgctuh.php http://aeardyrvgt.com/progs/cmjaaoswkk/jgctuh.php http://bewfsnfwka.net/progs/cmjaaoswkk/urrssgxk.php http://aeardyrvgt.com/progs/cmjaaoswkk/urrssgxk.php http://bewfsnfwka.net/progs/cmjaaoswkk/zvwwno.php http://aeardyrvgt.com/progs/cmjaaoswkk/zvwwno.php http://bewfsnfwka.net/progs/cmjaaoswkk/lrfstkx.php http://aeardyrvgt.com/progs/cmjaaoswkk/lrfstkx.php http://bewfsnfwka.net/progs/cmjaaoswkk/zfttgh.php http://aeardyrvgt.com/progs/cmjaaoswkk/zfttgh.php http://bewfsnfwka.net/progs/cmjaaoswkk/vsstg.php http://aeardyrvgt.com/progs/cmjaaoswkk/vsstg.php
На момент создания описания ссылки не работали.
Загруженные файлы сохраняются под следующими именами:
c:\xbmqgeyn.exe c:\udwnxe.exe c:\lhkeufwk.exe c:\lnrqiyh.exe c:\nojjv.exe c:\hgjokgc.exe c:\lquq.exe
Далее троянец для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами:
/c del <полный путь к оригинальному файлу троянца> > nul
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
c:\xbmqgeyn.exe c:\udwnxe.exe c:\lhkeufwk.exe c:\lnrqiyh.exe c:\nojjv.exe c:\hgjokgc.exe c:\lquq.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
MD5: 546878E9C42EA4CF38E1738E0E328D34
SHA1: F5B2D3A185276F4726BFE37284006AD666F11A02
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Trojan:
Generic. dx!gn (McAfee) - Troj/Agent-KCS (Sophos)
- Trj/Zlob.
KH (Panda) - W32/Trojan2.
HSBM (FPROT) - VirTool:
Win32/Obfuscator. FM (MS(OneCare)) - Win32/TrojanDownloader.
Small. OOT trojan (Nod32) - Trojan.
Generic. 2024726 (BitDef7) - Win32:
Crypt-EKF [Trj] (AVAST) - Trojan.
Win32. Agent2 (Ikarus) - Agent2.
KYZ (AVG) - TR/Crypt.
ZPACK. Gen (AVIRA) - Trojan Horse (NAV)
- W32/Downloader.
XEF (Norman) - Trojan.
Win32. Nodef. jvi (Rising) - TROJ_AGENT.
AONG (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей