RSS-каналы
Уровень опасности: 1
Trojan.Win32.Agent2.cmry
| Время детектирования | 26 дек 2009 01:33 MSK |
| Время выпуска обновления | 26 дек 2009 06:59 MSK |
| Описание опубликовано | 29 сен 2010 14:40 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 12800 байт. Написана на C++.
Деструктивная активность
Троянская библиотека экспортирует функцию с именем "AboutDlgProc", при запуске которой выполняются следующие действия:
- если в системе найден процесс "360tray.exe", троянец получает путь к исполняемому файлу данного процесса, и запускает этот файл с параметром:
/uninstsp
- Из тела троянца извлекается файл, который сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\op
(3584 байта; детектируется Антивирусом Касперского как "Backdoor.Win32.HacDef.tpne") где.z – случайное семизначное шестнадцатеричное число. - В системе создается и запускается служба с именем "aav", исполняемым файлом которой является извлеченный ранее драйвер. Драйвер содержит функционал, обеспечивающий выгрузку из системной памяти процессов:
360tray.exe safeboxtray.exe ras.exe avp.exe
- Затем созданная служба "aav" останавливается и удаляется. Также удаляется файл:
%Temp%\op
.z - Кроме того, создается следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\avp.exe] "Debugger" = "services.exe"
- В системе создается и запускается служба с именем "aav", исполняемым файлом которой является извлеченный ранее драйвер. Драйвер содержит функционал, обеспечивающий выгрузку из системной памяти процессов:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\avp.exe] "Debugger" = "services.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Trojan:
Generic. dx!ezn (McAfee) - Mal/Generic-A (Sophos)
- TrojanDropper:
Win32/Perkesh. C (MS(OneCare)) - Trojan.
MulDrop. 33509 (DrWeb) - Win32/TrojanDownloader.
Agent. OWN trojan (Nod32) - Trojan.
Generic. 2452486 (BitDef7) - Trojan.
DR. Perkesh. GA (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan.
ATRAPS (Ikarus) - Downloader.
Generic8. BOWJ (AVG) - TR/ATRAPS.
Gen2 (AVIRA) - Trojan Horse (NAV)
- W32/Suspicious_Gen.
BZUS (Norman) - Trojan.
Win32. KillAV. bsk (Rising) - Trojan.
Win32. Agent2. cmry [AVP] (FSecure) - TROJ_Generic.
DIT (TrendMicro) - Trojan.
Win32. Agent (Sunbelt) - Trojan.
DR. Perkesh. GA (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей