Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan.Win32.Vilsel.ors

Trojan.Win32.Vilsel.ors

Время детектирования 07 дек 2009 07:47 MSK
Время выпуска обновления 07 дек 2009 13:45 MSK
Описание опубликовано 23 дек 2009 17:37 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 21804 байта. Упакована при помощи UPX. Распакованный размер – около 46 КБ. Написана на C++.


Деструктивная активность

После запуска троянец завершает процессы со следующими именами: 

Launch.exe
Game.exe
Затем устанавливает временный каталог текущего пользователя Windows в переменной среде "Path", добавив к значению параметра ключа системного реестра соответствующий путь:
[HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\Environment]
"Path" = "%Temp%\;"
Далее троянец извлекает из своего тела библиотеку во временный каталог текущего пользователя Windows с именем "VGA<rnd>.tmp" (где <rnd> - случайные числа или буквы латинского алфавита): 
%Temp%\VGA<rnd>.tmp
Данный файл имеет размер 15148 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.Kykymber.anw.

Извлеченный файл копирует в системный каталог Windows с тем же именем, но расширением ".dat": 

%System%\VGA<rnd>.dat
Данному файлу троянец устанавливает атрибуты "скрытый", "системный" и "архивный".

После этого модифицирует библиотеку DirectX, используемую некоторыми играми, при этом размер файла библиотеки остается прежним: 

%System%\d3d9.dll
Таким образом при запуске игр, использующих данную библиотеку, на исполнение будет запускаться ранее извлеченная вредоносная библиотека с именем "VGA<rnd>.dat".

Для отключения защиты системных файлов троянец использует недокументированную функцию библиотеки: 

%System%\sfc_os.dll
После этого троянец удаляет файл: 
%Temp%\VGA<rnd>.tmp
А далее создает и запускает на исполнение файл командного интерпретатора, предназначенный для удаления оригинального тела троянца, а также себя самого: 
%Temp%\delself.bat


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Восстановить значение параметра в ключе (системного реестра):
    [HKLM\SYSTEM\CurrentControlSet\Control\Session
    Manager\Environment]
    "Path" =
  2. Удалить файл: 
    %System%\VGA<rnd>.dat
  3. Восстановить из дистрибутива оригинальные библиотеки: 
    %System%\d3d9.dll
%System%\dllcache\d3d9.dll
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.


Другие модификации
Trojan.Win32.Vilsel.ato

Другие названия

Trojan.Win32.Vilsel.ors («Лаборатория Касперского») также известен как:

  • Trojan: PWS-Mmorpg!iw (McAfee)
  • Trojan: Generic Dropper.hd (McAfee)
  • Trojan: PWS-OnlineGames.hj (McAfee)
  • Mal/Generic-L (Sophos)
  • Mal/Behav-112 (Sophos)
  • Trojan.Agent-132804 (ClamAV)
  • Trj/Vilsel.A (Panda)
  • W32/Trojan2.LADT (FPROT)
  • TrojanDropper:Win32/Vtimrun.C (MS(OneCare))
  • BackDoor.Beizhu.2048 (DrWeb)
  • Trojan.PWS.Wsgame.origin (DrWeb)
  • Trojan.Siggen.28745 (DrWeb)
  • Win32/PSW.OnLineGames.OXR trojan (Nod32)
  • Win32/TrojanDropper.Agent.OKZ trojan (Nod32)
  • multiple threats (Nod32)
  • Trojan.Vilsel!S4RYCJHcXq0 (VirusBuster)
  • Win32:Agent-AHSI [Trj] (AVAST)
  • Win32:Patched-OZ [Trj] (AVAST)
  • Backdoor.Win32.Bifrose (Ikarus)
  • Trojan.Win32.Vilsel (Ikarus)
  • PSW.OnlineGames.2.AJ.dropper (AVG)
  • PSW.OnlineGames3.WCO (AVG)
  • Encrypted container deleted; (NAV)
  • Infostealer.Gampass (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Trojan.Win32.Generic.11EC8FEE (Rising)
  • Trojan-PSW:W32/OnlineGames.gen!P [FSE] (FSecure)
  • TROJ_VIRTUM.BNT (TrendMicro)
  • TROJ_VIRTUM.AKB (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.Vilsel!S4RYCJHcXq0 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск