RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.FraudLoad.gmx
| Время детектирования | 19 мар 2010 06:07 MSK |
| Время выпуска обновления | 19 мар 2010 15:31 MSK |
| Описание опубликовано | 01 июн 2010 19:05 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 75264 байта. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела вредоносную библиотеку, которую размещает в системном каталоге и в каталоге временного хранения файлов текущего пользователя под следующими именами:
%System%\nnfj.tqo %Temp%\<rnd>.tmpгде rnd – случайное десятичное значение. Данные файлы имеют размер 20480 байт и детектируются антивирусом Касперского как Trojan.Win32.Sasfis.ajil. Для автозапуска вредоносной библиотеки при следующем старте ОС, троянец добавляет следующую информацию в системный реестр:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]Далее троянец выполняет внедрение кода вредоносной библиотеки в системный процесс "svchost.exe".
"Shell"="Explorer.exe rundll32.exe nnfj.tqo nhemkk"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключа реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe nnfj.tqo nhemkk" - Удалить файлы:
%System%\nnfj.tqo %Temp%\<rnd>.tmp
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
W32/Spybot. worm. gen. t (McAfee) - Troj/Bredo-BQ (Sophos)
- Trojan.
Bredolab-933 (ClamAV) - Trj/Sinowal.
WXO (Panda) - W32/FraudLoad.
BX (FPROT) - TrojanDropper:
Win32/Oficla. G (MS(OneCare)) - Trojan.
Oficla. 33 (DrWeb) - Win32/Oficla.
FA trojan (Nod32) - Trojan.
Generic. KD. 4532 (BitDef7) - Trojan.
Oficla. AJY (VirusBuster) - Trojan-Downloader.
Win32. FraudLoad (Ikarus) - Generic17.
IKC (AVG) - TR/Spy.
ZBot. OK (AVIRA) - Trojan Horse (NAV)
- W32/Bredolab.
SX (Norman) - Trojan.
Win32. Generic. 51FB8CBB (Rising) - Trojan-Downloader.
Win32. FraudLoad. gmx [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
Oficla. AJY (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей