Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan.Win32.Oficla.m

Trojan.Win32.Oficla.m

Время детектирования 06 апр 2010 07:06 MSK
Время выпуска обновления 06 апр 2010 12:44 MSK
Описание опубликовано 07 июн 2010 12:07 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.


Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем: 

%Temp%\<rnd>.tmp
Где <rnd> - случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем: 

3079141585b787f8d1
Троянец запускает процесс "svchost.exe" и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL: 
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем: 

%System%\<rnd>.<rnd>
Где <rnd> - случайная последовательность букв латинского алфавита, например "rihd.pno".

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe rundll32.exe %System%\<rnd>.<rnd>"


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Изменить ключ системного реестра:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe"
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить файлы: 
    %Temp%\<rnd>.tmp
%System%\<rnd>.<rnd>
  5. Очистить каталог Temporary Internet Files: 
    %Temporary Internet Files%
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.


Другие модификации
Trojan.Win32.Oficla.ce
Trojan.Win32.Oficla.cxf
Trojan.Win32.Oficla.dxy
Trojan.Win32.Oficla.ebb
Trojan.Win32.Oficla.hjl
Trojan.Win32.Oficla.mol
Trojan.Win32.Oficla.mop
Trojan.Win32.Oficla.w

Другие названия

Trojan.Win32.Oficla.m («Лаборатория Касперского») также известен как:

  • Trojan: Generic.dx!qyk (McAfee)
  • Trojan: SpyAgent-br.dll (McAfee)
  • Mal/Oficla-A (Sophos)
  • W32/Koobface.C.worm (Panda)
  • Generic Malware (Panda)
  • TrojanDropper:Win32/Oficla.G (MS(OneCare))
  • Trojan:Win32/Oficla.AC (MS(OneCare))
  • Trojan.Oficla.38 (DrWeb)
  • Trojan.Generic.3995318 (BitDef7)
  • Trojan.Generic.3589944 (BitDef7)
  • Trojan.Oficla!r997dXq4PoE (VirusBuster)
  • Trojan.Oficla!5XTD6Ct32Fk (VirusBuster)
  • Win32:Malware-gen (AVAST)
  • Win32:Oficla-AI [Trj] (AVAST)
  • Trojan.Win32.Oficla (Ikarus)
  • Generic17.AQDL (AVG)
  • Generic17.ANMW (AVG)
  • Trojan.Sasfis (NAV)
  • Trojan.Gen (NAV)
  • W32/Oficla.EH (Norman)
  • W32/Oficla.FJ (Norman)
  • Trojan.Win32.Generic.11E8B54B (Rising)
  • Trojan.Win32.Generic.51FF11DE (Rising)
  • Trojan.Win32.Oficla.m [AVP] (FSecure)
  • TROJ_DLOADR.SMVE (TrendMicro)
  • Trojan-Dropper.Win32.Oficla.h (v) (Sunbelt)
  • Trojan.Win32.Sasfis.a (v) (Sunbelt)
  • Trojan.Oficla!r997dXq4PoE (VirusBusterBeta)
  • Trojan.Oficla!5XTD6Ct32Fk (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск