Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Dropper.Win32.Grizl.cw

Trojan-Dropper.Win32.Grizl.cw

Время детектирования	28 дек 2009 14:55 MSK
Время выпуска обновления	28 дек 2009 22:10 MSK
Описание опубликовано	27 фев 2010 14:49 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 15520 байт. Упакована UPX. Распакованный размер – около 37 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

Создает уникальный идентификатор с именем:
```
12A8-B0CF
```
выгружает из системной памяти следующие процессы:
```
ElementClient.exe
safeboxTray.exe
360Tray.exe
360safe.exe
```
извлекает из своего тела файл, который сохраняется в системе как
```
%System%\ar<rnd>dll.dll
```
(895488 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Lmir.jox")
где <rnd> – случайная восьмизначная последовательность символов.
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
[HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
\InprocServer32] "Default" = "%System%\ar<rnd>dll.dll"
"ThreadingModel" = "Apartment"

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{5A041F13-A111-12A8-B0CF-F99818AA68A5}
" = "ar<rnd>dll.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
"Default" = "ar<rnd>dll.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad] "81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Windows] "AppInit_DLLs" = "...,ar<rnd>dll.dll"
Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство всех запускаемых в системе процессов.
Копирует свое тело в следующий файл:
```
%System%\ar<rnd>exe.gho
```
Удаляет файл:
```
%System%\verclsid.exe
```
Далее троянец создает в каталоге "%Temp%" файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить ключи системного реестра (как работать с реестром?):
  [HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
  \InprocServer32] "Default" = "%System%\ar<rnd>dll.dll"
  "ThreadingModel" = "Apartment"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ShellExecuteHooks]
  "{5A041F13-A111-12A8-B0CF-F99818AA68A5}
  " = "ar<rnd>dll.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
  "Default" = "ar<rnd>dll.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  ShellServiceObjectDelayLoad]
  "81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
2. Удалить подстроку "ar<rnd>dll.dll" из значения ключа системного реестра (как работать с реестром?):
  [HKLM\Software\Microsoft\Windows NT\
  CurrentVersion\Windows] "AppInit_DLLs"
3. Перезагрузить компьютер.
4. Удалить файлы:
```
%System%\ar<rnd>dll.dll
%System%\ar<rnd>exe.gho
```
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Dropper

Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

скрытной инсталляции троянских программ и вирусов;
защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Другие модификации

Trojan-Dropper.Win32.Grizl.li

Другие названия

Trojan-Dropper.Win32.Grizl.cw («Лаборатория Касперского») также известен как:

Trojan: PWS-OnlineGames.gl (McAfee)
Mal/Gampass-B (Sophos)
Trojan.Dropper-23576 (ClamAV)
W32/Dropper.ANJZ (FPROT)
TrojanDropper:Win32/Lolyda.F (MS(OneCare))
Trojan.PWS.Gamania.18701 (DrWeb)
Win32/PSW.OnLineGames.NYT trojan (Nod32)
Generic.Onlinegames.3.3A3D40F3 (BitDef7)
Trojan.DR.Grizl.T (VirusBuster)
Win32:Trojan-gen (AVAST)
Trojan-GameThief.Win32.Lmir (Ikarus)
Adload_r.LC (AVG)
TR/Agent.1013760 (AVIRA)
Infostealer.Gampass (NAV)
SandBox found 'W32/OnlineGames!gens.25032594'. Infection details: [ General information ] (Norman)
Trojan.PSW.Win32.GameOLx.alw (Rising)
Trojan-Dropper.Win32.Grizl.cw [AVP] (FSecure)
TSPY_ONLINEG.SMA (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.DR.Grizl.T (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com