Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Downloader.Win32.Mufanom.hby

Trojan-Downloader.Win32.Mufanom.hby

Время детектирования	31 дек 2009 15:51 MSK
Время выпуска обновления	31 дек 2009 20:31 MSK
Описание опубликовано	15 июл 2010 17:59 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 166400 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в каталог Windows со случайным именем "<rnd>.dll":

%WinDir%\<rnd>.dll

Где <rnd> - случайный набор латинских букв, например "wmdyte".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на копию своего исполняемого файла в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd2>" = "rundll32.exe "%Windir%\<rnd1>",Startup"

Деструктивная активность

Троянец завершает процесс:

MRT.exe

Троянец регистрирует себя как Browser Helper Object. Для этого создает соответствующие ключи системного реестра:

[HKCR\CLSID\{<rnd2>}\InprocServer32] "(Default)" = "%WinDir%\<rnd>.dll" "ThreadingModel" = "Apartment" [HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{<rnd2>}]

Где <rnd2> – идентификатор со случайным именем, например, "1007565B-5822-482B-8BA7-282EC2E61464".

Регистрирует себя как расширение для Mozilla Firefox, добавив значение в ключ системного реестра:

[HKCU\Software\Mozilla\Firefox\Extensions\sample@example.net]

Таким образом при использовании браузеров Mozilla Firefox и Internet Explorer, троянец проверяет адреса посещаемые пользователем. Если адрес содержит в себе одну из следующих строк:

gateway.com
webmail.aol.com
aol
slirsredirect
r.looksmart.com
askredir.com
ads.ask.com
aclk
google
zeal.
wisenut.
wikipedia.
what2find.
wesearchall
websearch.
web.ask.co.uk
vivisimo.
vachercher.lycos.fr
usseek.
url.searchuk.com
ukindex.co.uk
thefreedictionary.
sqwire.
search_str=
slotch.
sirsearch.
shoprogers.
sex.com
find=
sensis.com
seeq.
searchscout.
searchmiracle.
searchstri=
searchfeed.
searchengine.
search.lycos
search.aol
scoutcrawl.
revquest.
reference.
perfectnav.
pverture.
nytimes.
netzero.
netster.
netscape.
phrase=
neon.org
navisearch.
mywebsearch.
searchfor=
myway.
searchtext=
mygeek.
qry=
mirago.
mamma.
lycos.
looksmart.
london-pages.co.uk
kanoodle.
jayde.
instafinder.
inquire.

infoseek.
hotbot.com
grip.com
goguides.
goclick.
gigablast.com
genieknows.
galaxysearch.
mt=findwhat.
findsearch.
excite.
exactsearch.
emetasearch.
earthlink.
qkw=
dogpile.
search=
dmoz.
ditto.com
destinationadult.
daum.net
keywords=
crawlbar.
coolwebsearch.
comcast.
term=
clearsearch.
bbc.
asiaco.
aol.
altavista.com
altavista.
searchterm=
allyoursearch.
alltheweb.com
alexa.
terms=
about.
qu=
7search.
66.220.17.157
keyword=
64.225.154.135
250000.co.uk
.wanadoo.
.teoma.
.search123.
.oingo.
.msn.
.live.
.gohip.
.epilot.com
satitle=
.ebay.
/web?
ask.
query=
/search
.aol.com
.ah-ha.
search.yahoo.
search
.google.
.bing.com/search?

тогда троянец может перенаправлять пользователя на потенциально опасные ресурсы или вставлять в страницу скрипт, перехватывающий поисковые запросы для отправки на сервер злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить параметр ключа системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "rundll32.exe "%Windir%\",Startup"

Удалить ключ системного реестра:

[HKCU\Software\Mozilla\Firefox\Extensions\sample@example.net]

Очистить каталог Temporary Internet Files:
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.Mufanom.hjo

Другие названия

Trojan-Downloader.Win32.Mufanom.hby («Лаборатория Касперского») также известен как:

Trojan: Hiloti.gen (McAfee)
Mal/Hiloti-A (Sophos)
Trojan:Win32/Hiloti.gen!A (MS(OneCare))
Win32/Cimag.BG trojan (Nod32)
Trojan.Packed.Hiloti.Gen.1 (BitDef7)
Trojan.DL.Mufanom.BKF (VirusBuster)
Win32:Malware-gen (AVAST)
Trojan.Win32.Hiloti (Ikarus)
Downloader.Generic9.AGLD (AVG)
TR/Dldr.Mufanom.hby (AVIRA)
Downloader (NAV)
Trojan-Downloader.Win32.Mufanom.hby [AVP] (FSecure)
TROJ_HILOTI.CD (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.DL.Mufanom.BKF (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com