Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.Agent2.cqol

Trojan.Win32.Agent2.cqol

Время детектирования	22 апр 2010 20:25 MSK
Время выпуска обновления	23 апр 2010 02:51 MSK
Описание опубликовано	28 окт 2010 15:29 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 22114 байт. Написана на C++.

Деструктивная активность

После запуска троянец создает новую оконную станцию (WindowStation) с именем "WndSt1" и связывает свой процесс с данной станцией. После этого вредонос отправляет POST запрос на сервер злоумышленника:

http://g***up.com

В запросе вредоносом передаются следующие данные:

p=2gm9his

Сервер злоумышленника в ответе отправляет троянцу команды для выполнения и дополнительные параметры, необходимых для полноценной работы троянца. Например ответ от сервера может содержать следующие строки:

sn

nc n
-u top-***ervice.com
-b 46 12
-c 1 10
-i 4-24
ec

Команды для троянцев обновляются и высылаются сервером несколько в сутки. Затем троянец определяет установленный в системе браузер по умолчанию, прочитав значения ключа реестра:

[HKCR\HTTP\shell\open\command]

Троянец при помощи командной строки запускает на выполнение браузер и передает ему в качестве параметра адрес ресурса, который был заранее получен от сервера злоумышленника. Далее, используя функцию EnumWindows (), троянец находит окна с именами классов "OpWindow", " IEFrame", "MozillaUIWindowClass" - главные окна браузеров Internet Explorer, Opera, Mozilla FireFox. Следит за работой пользователя в браузере и похищает вводимую пользователем информацию. Похищенную информацию троянец отправляет на сервер злоумышленника:

http://g***up.com

В запросе POST отправляет данные следующего вида:

t=t&r=2&e0=0&e1=14&p=2gm9his&i=4-24&cq=8&sq=1

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.Agent2.ciir

Trojan.Win32.Agent2.cmry

Trojan.Win32.Agent2.cqok

Trojan.Win32.Agent2.dbw

Trojan.Win32.Agent2.ddnd

Trojan.Win32.Agent2.dmdi

Trojan.Win32.Agent2.dmuw

Trojan.Win32.Agent2.dmvt

Trojan.Win32.Agent2.dtb

Trojan.Win32.Agent2.ejm

Trojan.Win32.Agent2.kln

Trojan.Win32.Agent2.kxb

Trojan.Win32.Agent2.lmu

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com