RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.cwen
| Время детектирования | 27 ноя 2009 23:19 MSK |
| Время выпуска обновления | 28 ноя 2009 05:25 MSK |
| Описание опубликовано | 27 фев 2010 12:08 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 14336 байт. Упакована UPX. Распакованный размер – около 51 КБ. Написана на C++.
Деструктивная активность
После запуска троянец останавливает работу одной из следующих служб:
Schedule RemoteRegistry helpsvc CryptSvc Browser Tapisrv Nla Netman SSDPSRV upnphost Ntmssvc EventSystem xmlprov WmdmPmSN FastUserSwitchingCompatibility BITS AppMgmtПосле этого бинарный файл этой службы, а именно один из следующих файлов:
%System%\schedsvc.dll %System%\regsvc.dll %System%\pchsvc.dll %System%\cryptsvc.dll %System%\browser.dll %System%\tapisrv.dll %System%\mswsock.dll %System%\netman.dll %System%\ssdpsrv.dll %System%\upnphost.dll %System%\ntmssvc.dll %System%\es.dll %System%\xmlprov.dll %System%\mspmsnsv.dll %System%\shsvcs.dll %System%\qmgr.dll %System%\appmgmts.dllзаменяется файлом, извлеченным из тела троянца. Файл имеет размер 17408 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cpeo".
Далее работа остановленной службы возобновляется.
После этого троянец создает в каталоге "%Temp%" файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Virus:
W32/Pate. dam (McAfee) - Trojan:
Generic Dropper. nw (McAfee) - Mal/Behav-204 (Sophos)
- Heuristic.
WinPE-Statistical (Panda) - W32/Downldr2.
IGOL (FPROT) - W32/SmallTrojan.
I. gen!Eldorado (FPROT) - W32/Joiner.
D. gen!Eldorado (FPROT) - TrojanDropper:
Win32/Microjoin. gen!C (MS(OneCare)) - Trojan.
MulDrop. 63565 (DrWeb) - Win32/TrojanDropper.
Agent. OMH trojan (Nod32) - Win32.
Parite. a (BitDef7) - Trojan.
Crypt. CG (BitDef7) - Trojan.
DR. Microjoin. FVO (VirusBuster) - Win32:
Microjoin-CD [Trj] (AVAST) - Trojan-Dropper.
Win32. Microjoin (Ikarus) - Dropper.
Microjoin (AVG) - DR/MicroJoiner.
Gen (AVIRA) - Suspicious.
MH690 (NAV) - Trojan Horse (NAV)
- SandBox found 'DLoader.
ACJAF. dropper'. Infection details: [ General information ] (Norman) - Dropper.
Win32. Undef. bim (Rising) - Trojan.
Win32. Generic. 51F44953 (Rising) - Trojan.
Win32. Generic!BT (Sunbelt) - BehavesLike.
Win32. Malware (v) (Sunbelt) - Trojan.
DR. Microjoin. FVO (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей