RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.buxt
| Время детектирования | 30 мар 2010 04:55 MSK |
| Время выпуска обновления | 30 мар 2010 14:21 MSK |
| Описание опубликовано | 16 июн 2010 15:13 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Написана на С++.
Инсталляция
После запуска троянец копирует свой исполняемый файл в каталог хранения временных файлов текущего пользователя и в системный каталог Windows с именами:
%Temp%\<rnd>.tmp %System%\kjgk.skoгде rnd – случайная десятичная цифра. Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского как Trojan.Win32.Agent.dqdx. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
"Shell" = "%System%\kjgk.sko "
Деструктивная активность
Также троянец осуществляет HTTP запросы по следующим ссылкам:
http://91.***.21/12345/bb.php?v=200&id=<rnd>&b=balu1&tm=1 http://91.***.21/12345/bb.php?v=200&id=<rnd>&b=balu1&tm=2 http://91.***.21/12345/bb.php?v=200&id=<rnd>&b=balu1&tm=3где rnd – случайная цифровая последовательность. Обрабатывая данные HTTP запросы, сервер возвращает троянцу ссылку, по которой в дальнейшем загружается другое вредоносное ПО.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра ([HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%System%\kjgk.sko "- Удалить файлы:
%Temp%\<rnd>.tmp %System%\kjgk.sko
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
- Удалить файлы:
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Mal/Generic-L (Sophos)
- TrojanDropper:
Win32/Oficla. G (MS(OneCare)) - Trojan.
Oficla. 38 (DrWeb) - a variant of Win32/TrojanDropper.
Agent. JMCMCDX trojan (Nod32) - Trojan.
Generic. 3962908 (BitDef7) - Trojan.
DR. Oficla. Gen. 2 (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan.
Win32. Oficla (Ikarus) - Generic17.
AHKH (AVG) - Trojan.
Gen (NAV) - W32/Suspicious_Gen2.
dam (Norman) - Trojan-Dropper.
Win32. Agent. buxt [AVP] (FSecure) - Mal_Sasfis-1 (TrendMicro)
- Trojan.
DR. Oficla. Gen. 2 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».