Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Downloader.Win32.Agent.cwlb

Trojan-Downloader.Win32.Agent.cwlb

Время детектирования	05 ноя 2009 15:54 MSK
Время выпуска обновления	05 ноя 2009 23:06 MSK
Описание опубликовано	22 дек 2009 14:53 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие вредоносные программы и запускающая их на выполнение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:

%Temp%\<rnd>.tmp

Где <rnd> — случайная цифра.

Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского, как Backdoor.Win32.Bredavi.arh.

Далее библиотека подгружается в адресное пространство процесса троянской программы и вызывается библиотечная функция "ocqbk".

Троянец запускает процесс "svchost.exe" и подгружает в его адресное пространство извлеченную библиотеку.

Также библиотека сохраняется в системном каталоге Windows под именем "ifmq.kqo":

%System%\ifmq.kqo

Далее для автоматического запуска при следующем старте системы троянец создает ссылку на извлеченную динамическую библиотеку в ключе системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "rundll32.exe ifmq.kqo bmhyn"

По завершению своей работы троянец удаляет свое оригинальное тело.

При помощи DLL троянец соединяется с сервером злоумышленника для получения дальнейшего сценария работы:

http://li*****g.org

На момент создания описания сервер не работал.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить троянский процесс запущенный от имени текущего пользователя Windows:
```
svchost.exe
```
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
```
%Temp%\<rnd>.tmp
%System%\ifmq.kqo
```
Изменить значения параметра ключа (системного реестра):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.Agent.ac

Trojan-Downloader.Win32.Agent.ahoe

Trojan-Downloader.Win32.Agent.alr

Trojan-Downloader.Win32.Agent.bcki

Trojan-Downloader.Win32.Agent.bdxm

Trojan-Downloader.Win32.Agent.bfjx

Trojan-Downloader.Win32.Agent.bg

Trojan-Downloader.Win32.Agent.bgol

Trojan-Downloader.Win32.Agent.bhhu

Trojan-Downloader.Win32.Agent.bl

Trojan-Downloader.Win32.Agent.bmc

Trojan-Downloader.Win32.Agent.bqpy

Trojan-Downloader.Win32.Agent.brit

Trojan-Downloader.Win32.Agent.bvz

Trojan-Downloader.Win32.Agent.bxpa

Trojan-Downloader.Win32.Agent.capa

Trojan-Downloader.Win32.Agent.cfns

Trojan-Downloader.Win32.Agent.clbm

Trojan-Downloader.Win32.Agent.cmrv

Trojan-Downloader.Win32.Agent.cpcc

Trojan-Downloader.Win32.Agent.cpnc

Trojan-Downloader.Win32.Agent.cpqx

Trojan-Downloader.Win32.Agent.cqdn

Trojan-Downloader.Win32.Agent.csfm

Trojan-Downloader.Win32.Agent.cvbv

Trojan-Downloader.Win32.Agent.cvbx

Trojan-Downloader.Win32.Agent.cvha

Trojan-Downloader.Win32.Agent.cvow

Trojan-Downloader.Win32.Agent.cvpq

Trojan-Downloader.Win32.Agent.cwen

Trojan-Downloader.Win32.Agent.dbll

Trojan-Downloader.Win32.Agent.dilt

Trojan-Downloader.Win32.Agent.dkpv

Trojan-Downloader.Win32.Agent.dldj

Trojan-Downloader.Win32.Agent.dldk

Trojan-Downloader.Win32.Agent.dlev

Trojan-Downloader.Win32.Agent.dlyf

Trojan-Downloader.Win32.Agent.dmya

Trojan-Downloader.Win32.Agent.dotv

Trojan-Downloader.Win32.Agent.doxj

Trojan-Downloader.Win32.Agent.dxqs

Trojan-Downloader.Win32.Agent.eakq

Trojan-Downloader.Win32.Agent.ecwi

Trojan-Downloader.Win32.Agent.ed

Trojan-Downloader.Win32.Agent.eed

Trojan-Downloader.Win32.Agent.eesv

Trojan-Downloader.Win32.Agent.efce

Trojan-Downloader.Win32.Agent.efep

Trojan-Downloader.Win32.Agent.effm

Trojan-Downloader.Win32.Agent.efgz

Trojan-Downloader.Win32.Agent.efoa

Trojan-Downloader.Win32.Agent.efuq

Trojan-Downloader.Win32.Agent.ehcj

Trojan-Downloader.Win32.Agent.ehfk

Trojan-Downloader.Win32.Agent.ejui

Trojan-Downloader.Win32.Agent.ekbl

Trojan-Downloader.Win32.Agent.eldb

Trojan-Downloader.Win32.Agent.elej

Trojan-Downloader.Win32.Agent.eljy

Trojan-Downloader.Win32.Agent.elrc

Trojan-Downloader.Win32.Agent.emi

Trojan-Downloader.Win32.Agent.fdi

Trojan-Downloader.Win32.Agent.fk

Trojan-Downloader.Win32.Agent.flkh

Trojan-Downloader.Win32.Agent.flnw

Trojan-Downloader.Win32.Agent.fpp

Trojan-Downloader.Win32.Agent.fqbf

Trojan-Downloader.Win32.Agent.fs

Trojan-Downloader.Win32.Agent.fuzq

Trojan-Downloader.Win32.Agent.fvcq

Trojan-Downloader.Win32.Agent.fwcp

Trojan-Downloader.Win32.Agent.gdmw

Trojan-Downloader.Win32.Agent.gfew

Trojan-Downloader.Win32.Agent.gfpt

Trojan-Downloader.Win32.Agent.gknt

Trojan-Downloader.Win32.Agent.gxvs

Trojan-Downloader.Win32.Agent.jc

Trojan-Downloader.Win32.Agent.kr

Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.pj

Trojan-Downloader.Win32.Agent.qlh

Trojan-Downloader.Win32.Agent.rs

Trojan-Downloader.Win32.Agent.td

Trojan-Downloader.Win32.Agent.teqa

Trojan-Downloader.Win32.Agent.tuc

Trojan-Downloader.Win32.Agent.uj

Trojan-Downloader.Win32.Agent.zf

Другие названия

Trojan-Downloader.Win32.Agent.cwlb («Лаборатория Касперского») также известен как:

Trojan.Win32.Sasfis.tub («Лаборатория Касперского»)
Trojan: Generic Dropper.mp (McAfee)
Troj/SpefZp-A (Sophos)
Troj/Agent-LPQ (Sophos)
Trojan.Agent-128250 (ClamAV)
Adware/NaviPromo (Panda)
W32/Sasfis.E (FPROT)
Trojan:Win32/Oficla.E (MS(OneCare))
Trojan.Siggen.18256 (DrWeb)
Trojan.Generic.2632158 (BitDef7)
Trojan.Sasfis.AHA (VirusBuster)
Win32:Oficla-E [Trj] (AVAST)
Trojan.Win32.Oflica (Ikarus)
Generic15.AQFC (AVG)
TR/Sasfis.tub.2 (AVIRA)
winner.exe <<< TR/Sasfis.tub.2 (AVIRA)
BACKDOOR.Trojan (NAV)
W32/SuspiciousZip.Gen (Norman)
W32/Suspicious_Gen2.GCXK (Norman)
Trojan.Win32.Inject.fms (Rising)
Trojan-Downloader.Win32.Agent.cwlb [AVP] (FSecure)
TROJ_SASFIS.SMP (TrendMicro)
Trojan.Win32.Oficla.E (Sunbelt)
Trojan.Sasfis!k85CCeTl9mU (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей