Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Dropper.Win32.VB.amlh

Trojan-Dropper.Win32.VB.amlh

Время детектирования 05 апр 2010 12:55 MSK
Время выпуска обновления 05 апр 2010 20:11 MSK
Описание опубликовано 17 июн 2010 13:19 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 245816 байт. Написана на Visual Basic.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • отображает сообщение:

  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами: 
    %WinDir%\win_32.exe
    (24576 байт; детектируется Антивирусом Касперского как "Trojan-Dropper.Win32.VB.amlh") 
    %WinDir%\taobao2.Ico
    (4286 байт) 
    %WinDir%\movie.Ico
    (4286 байт) 
    %WinDir%\Game.Ico
    (4286 байт)
  • Запускает на выполнение извлеченный ранее файл "win_32.exe". После запуска файл "win_32.exe" запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами: 
    /c taskkill /f /pid <идентификатор процесса "win_32.exe"< 
    && del "%WinDir%\win_32.exe", vbHide
    и после этого завершает свою работу.
  • Внедряет в адресное пространство запущенного ранее процесса "CMD.EXE" исполняемый код, реализующий функционал загрузчика. Устанавливается соединение с хостом: 
    78***pay.com
    Установленное соединение используется для загрузки на компьютер пользователя других вредоносных программ. Загруженные файлы сохраняются в каталоге "%Temporary Internet Files%" и после успешной загрузки запускаются на выполнение. На момент создания описания файлы не загружались.

    Кроме того, в браузере Internet Explorer открывается следующий сайт: 

    http://www.2***f.com/m***u/pp.htm?22
  • Создает следующие ключи системного реестра:
    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\DefaultIcon]
    "Default" = "%WinDir%\taobao2.Ico"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\??(&R)
    \Command] "Default" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\Open(&O)
    \Command] "Default" = "%Program Files%\Internet Explorer\\IEXPLORE.EXE"
    http://taob****ys.com"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\OpenMain]
    "Default" = "????(&H)"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\Z\Command]
    "Default" = "Rundll32.exe"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\ShellFolder]
    "Attributes" = "10"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Open(&O)
    \Command] "Default" = ""%Program Files%\Internet Explorer\IEXPLORE.EXE"
    http://www.0****55.com/"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\OpenMain]
    "Default" = "????(&H)"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Z]
    "Default" = "??(&D)"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Z\Command]
    "Default" = "Rundll32.exe"
После этого троянец завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить процессы: 
    CMD.EXE
IEXPLORE.EXE
  2. Удалить файлы: 
    %WinDir%\win_32.exe
%WinDir%\taobao2.Ico 
%WinDir%\movie.Ico 
%WinDir%\Game.Ico
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить ключи системного реестра (как работать с реестром?):
    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\DefaultIcon]
    "Default" = "%WinDir%\taobao2.Ico"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\??(&R)
    \Command] "Default" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\Open(&O)
    \Command] "Default" = "%Program Files%\Internet Explorer\\IEXPLORE.EXE"
    http://taob****ys.com"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\OpenMain]
    "Default" = "????(&H)"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\Shell\Z\Command]
    "Default" = "Rundll32.exe"

    [HKCR\CLSID\{FB2891BB-8031-EC49-8A30-B1C9F7A0C3A0}\ShellFolder]
    "Attributes" = "10"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Open(&O)
    \Command] "Default" = ""%Program Files%\Internet Explorer\IEXPLORE.EXE"
    http://www.0****55.com/"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\OpenMain]
    "Default" = "????(&H)"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Z]
    "Default" = "??(&D)"

    [HKCR\CLSID\{1F269210-F96F-E449-A410-2DCD75F643AD}\Shell\Z\Command]
    "Default" = "Rundll32.exe"
  5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Dropper

Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

  • скрытной инсталляции троянских программ и вирусов;
  • защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Другие модификации
Trojan-Dropper.Win32.VB.iv
Trojan-Dropper.Win32.VB.iw
Trojan-Dropper.Win32.VB.oj
Trojan-Dropper.Win32.VB.om
Trojan-Dropper.Win32.VB.or
Trojan-Dropper.Win32.VB.ov
Trojan-Dropper.Win32.VB.ox
Trojan-Dropper.Win32.VB.qq
Trojan-Dropper.Win32.VB.sa
Trojan-Dropper.Win32.VB.te
Trojan-Dropper.Win32.VB.tj

Другие названия

Trojan-Dropper.Win32.VB.amlh («Лаборатория Касперского») также известен как:

  • Mal/VB-Z (Sophos)
  • W32/VBTrojan.7!Maximus (FPROT)
  • Trojan.Packed.20099 (DrWeb)
  • Gen:Trojan.Heur.ZGY.8 (BitDef7)
  • Win32:Pincav-BL [Drp] (AVAST)
  • Virus.Win32.VBInject (Ikarus)
  • TR/Dropper.Gen (AVIRA)
  • W32/VBDloader.E (Norman)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск