RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Agent.ampt
| Время детектирования | 09 ноя 2009 11:01 MSK |
| Время выпуска обновления | 09 ноя 2009 16:05 MSK |
| Описание опубликовано | 10 сен 2010 16:57 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 40448 байт. Написана на C++.
Деструктивная активность
После запуска троянец при помощи функции "GetSystemDefaultLCID" получает идентификатор набора национальных параметров, которые используются операционной системой по умолчанию. Если полученное значение соответствует:
Yakut Armenian Azeri Bashkir Belarusian Divehi Kazakh Kyrgyz Tatar Ukrainian Uzbek Russianто троянец завершает свою работу. При этом оригинальный файл троянца будет удален при следующей загрузке системы.
В противном случае, троянец выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе как
%System%\mscert.dll
(35848 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amoj")%System%\kbdnet.dll
(30208 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amnx") - Регистрирует извлеченные библиотеки в системном реестре путем создания следующих ключей:
[HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls]Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.
"AppSecDll" = "%System%\mscert.dll"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\kbdnet.dll"
"LoadAppInit_DLLs" = "1"
После этого троянец завершает свою работу. Оригинальный файл троянца будет удален при следующей загрузке системы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan:
Generic Downloader. fb (McAfee) - Mal/Generic-A (Sophos)
- Trj/Downloader.
MDW (Panda) - TrojanDownloader:
Win32/Small. ZZX (MS(OneCare)) - Win32/Agent.
QHP trojan (Nod32) - Win32:
Agent-AHSH [Trj] (AVAST) - Trojan-Downloader.
Ag (Ikarus) - TR/Drop.
Agent. NB (AVIRA) - Infostealer (NAV)
- Trojan.
Win32. Generic. 51F0BFB9 (Rising) - BKDR_AGENT.
AXPJ (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей