RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.FraudLoad.wvff
| Время детектирования | 28 окт 2009 15:29 MSK |
| Время выпуска обновления | 28 окт 2009 19:57 MSK |
| Описание опубликовано | 20 ноя 2009 15:48 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 150016 байт. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- запускает системную утилиту "taskkill.exe" с параметрами:
/F /IM MSASCui.exe
Это приводит к завершению процесса "MSASCui.exe". - Загружает из сети Интернет файл по одной из следующих ссылок:
http://freeavtest.com/*****/<SystemInfo>==/info.jpg http://safe-updates.com/*****/<SystemInfo>==/info.jpg
Значение подстроки <SystemInfo> формируется на основании серийного номера диска C:, а также значений ключей системного реестра:[HKLM\Software\Microsoft\Windows NT\CurrentVersion] "ProductId" "CSDVersion" "CurrentVersion"
Загруженный файл сохраняется во временном каталоге текущего пользователя как%Temp%\lhl<rnd>.tmp
где <rnd> – случайное шестнадцатеричное число.
На момент создания описания загружался файл размером 2563945 байт.
Во время загрузки файла троянец выводит на экран окно следующего вида:
- Расшифровывает содержимое загруженного файла. Расшифрованные данные помещаются в файл:
%Temp%\asp2009.exe
(2563073 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.FraudLoad.wwdb") - Запускает на выполнение файл "%Temp%\asp2009.exe".
- Удаляет файл "%Temp%\lhl
.tmp". После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%Temp%\asp2009.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
FakeAlert-JV (McAfee) - Mal/EncPk-LF (Sophos)
- W32/FraudLoad.
AR (FPROT) - Trojan:
Win32/WinSpywareProtect (MS(OneCare)) - Trojan.
Fakealert. 5223 (DrWeb) - Win32/Kryptik.
AUR trojan (Nod32) - Trojan.
Generic. 2611176 (BitDef7) - Trojan.
Winwebsec. Gen!Pac. 3 (VirusBuster) - Win32:
MalOb-AB [Cryp] (AVAST) - Trojan-Downloader.
FakeVi (Ikarus) - Generic15.
AGMN (AVG) - TR/Dldr.
FakeVi. A. 68 (AVIRA) - Trojan.
Win32. FakeAV. alj (Rising) - Trojan-Downloader.
Win32. FraudLoad. wvff [AVP] (FSecure) - TROJ_FRAUDLO.
IM (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей