RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Agent.amru
| Время детектирования | 12 ноя 2009 13:02 MSK |
| Время выпуска обновления | 12 ноя 2009 21:00 MSK |
| Описание опубликовано | 25 май 2010 13:04 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 40960 байт. Написана на C++.
Деструктивная активность
После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует одному из следующих значений:
Uzbek Ukrainian Azeri Kyrgyz Tatar Belarusian Kazakh Bashkir Divehi Armenian Yakut Russianто троянец удаляет свой оригинальный файл и завершает работу.
В противном случае, троянец выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%System%\mscert.dll
(36352 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrt")%System%\rdolib.dll
(30720 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Agent.amrr") - Создает ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\Session
Manager\AppCertDlls]
"AppSecDll" = "%System%\mscert.dll"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\rdolib.dll"
"LoadAppInit_DLLs" = "1"
Таким образом, извлеченные троянцем библиотеки будут внедряться в адресные пространства всех процессов, запускаемых в системе.
После этого троянец завершает свою работу.
Оригинальный файл троянца будет удален во время очередной перезагрузки системы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan:
Generic BackDoor!bjf (McAfee) - Mal/Generic-A (Sophos)
- Trojan:
Win32/Bamital. A (MS(OneCare)) - Trojan.
DownLoad. 61699 (DrWeb) - Win32/Agent.
QHZ trojan (Nod32) - Trojan.
Generic. 2894322 (BitDef7) - Trojan.
Bamital. Gen (VirusBuster) - Win32:
Trojan-gen (AVAST) - Trojan.
Win32. Bamital (Ikarus) - BackDoor.
Agent. AEFO (AVG) - BDS/Agent.
amru (AVIRA) - BACKDOOR.
Trojan (NAV) - W32/Suspicious_Gen3.
DFDU (Norman) - Backdoor.
Win32. Agent. amru [AVP] (FSecure) - Backdoor.
Win32. Agent. amru (Sunbelt) - Trojan.
Bamital. Gen (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей