Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Downloader.Win32.Servill.pn

Trojan-Downloader.Win32.Servill.pn

Время детектирования 30 окт 2009 13:29 MSK
Время выпуска обновления 30 окт 2009 17:50 MSK
Описание опубликовано 27 фев 2010 13:50 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 28160 байт. Упакована UPX. Распакованный размер – около 49 КБ. Написана на C++.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • создает уникальный идентификатор с именем: 
    gjhazz
  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами: 
    %Temp%\~<rnd1>.ex
    (10752 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.idd") 
    %Temp%\~<rnd1>.exe
    (8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz") 
    %System%\<rnd2>.exe
    (8704 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Murlo.cmz")

    где <rnd1> – случайное восьмизначное десятичное число, а <rnd2> – случайная последовательность цифр и латинских букв (например: "6bp4O").
  • Создает ключи системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "msconfigs" = "%System%\<rnd2>.exe"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "msconfigs" = "%System%\<rnd2>.exe"
    Таким образом, извлеченный файл "%System%\<rnd2>.exe" будет автоматически запускаться при каждом следующем старте системы.
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\egui.exe]
    "Debugger" = "services.exe"
    Это блокирует запуск процесса "egui.exe".
  • Выгружает из системной памяти процесс "360tray.exe".
  • Создает и запускает в системе службу с именем "<rnd1>", бинарным файлом которой является извлеченный ранее файл "%Temp%\~<rnd1>.ex".
  • Запускает на выполнение извлеченный ранее файл "%Temp%\~<rnd1>.exe". После этого троянец завершает свою работу.


    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Удалить ветви системного реестра (как работать с реестром?): 
      [HKLM\System\ControlSet001\Services\<rnd1>]
[HKLM\System\CurrentControlSet\Services\<rnd1>]
    2. Удалить ключи системного реестра (как работать с реестром?): 
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"


      
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"msconfigs" = "%System%\<rnd12>.exe"


      
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
      Image File Execution Options\egui.exe]
"Debugger" = "services.exe"
    3. Перезагрузить компьютер.
    4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Удалить файлы: 
      %Temp%\~<rnd1>.ex 
%Temp%\~<rnd1>.exe 
%System%\<rnd12>.exe
    6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.


Другие названия

Trojan-Downloader.Win32.Servill.pn («Лаборатория Касперского») также известен как:

  • Trojan: Downloader-BWK (McAfee)
  • Troj/Drop-EI (Sophos)
  • Trojan.Downloader-82264 (ClamAV)
  • Trj/Murlo.K (Panda)
  • W32/Rootkit-PX!Eldorado (FPROT)
  • TrojanDownloader:Win32/Perkesh.F (MS(OneCare))
  • Trojan.MulDrop.53422 (DrWeb)
  • MULDROP.Trojan (DrWeb)
  • Win32/TrojanDownloader.Perkesh.O trojan (Nod32)
  • Trojan.Generic.2618984 (BitDef7)
  • Trojan.DL.Perkesh.GD (VirusBuster)
  • Win32:Small-MTB [Trj] (AVAST)
  • Trojan-Downloader.Win32.Perkesh (Ikarus)
  • Downloader.Generic9.KBO (AVG)
  • TR/Crypt.ZPACK.Gen (AVIRA)
  • Downloader (NAV)
  • W32/Smalltroj.UJCW (Norman)
  • Trojan.Win32.Generic.51EF2678 (Rising)
  • Trojan-Downloader.Win32.Servill.pn [AVP] (FSecure)
  • Mal_DRPR-3 (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск