RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Agent.dmya
| Время детектирования | 28 апр 2010 05:10 MSK |
| Время выпуска обновления | 28 апр 2010 10:45 MSK |
| Описание опубликовано | 21 июн 2010 17:51 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 7213 байт. Упакована FSG. Распакованный размер – около 53 КБ. Написана на Visual Basic.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- загружает из сети Интернет файлы по следующим ссылкам:
http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1001.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1002.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1003.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1004.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1005.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1006.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1007.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1008.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1009.gif http://admi***00.org/img/T1gANoXmXwXXcGRBI1_1010.gif
Загруженные файлы сохраняются в системе соответственно как%WinDir%\1001.exe
(На момент создания описания загружался файл размером 29200 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Delf.xnh")%WinDir%\1002.exe
(На момент создания описания загружался файл размером 82185 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.drre")%WinDir%\1003.exe
(На момент создания описания загружался файл размером 73728 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Adload.qjn")%WinDir%\1004.exe
(На момент создания описания загружался файл размером 30709 байт)%WinDir%\1005.exe
(На момент создания описания загружался файл размером 188416 байт)%WinDir%\1006.exe
(На момент создания описания файл не загружался)%WinDir%\1007.exe
(На момент создания описания файл не загружался)%WinDir%\1008.exe
(На момент создания описания файл не загружался)%WinDir%\1009.exe (На момент создания описания файл не загружался)
%WinDir%\1010.exe
(На момент создания описания файл не загружался) После успешной загрузки файлы запускаются на выполнение. - Открывает в браузере Internet Explorer следующий сайт:
http://www.fx***9.cn/img/gg.htm?31
- Извлекает из своего тела файл, который сохраняется в системе под следующим именем:
%WinDir%\46.bat (7288 байт)
и запускает его на выполнение.
Запуск файла "%WinDir%\46.bat" приводит к следующим последствиям:
- в браузере Internet Explorer открываются сайты:
http://www.fx***9.cn/img/tc.htm?31 http://www.2***h.com/?31tc
- Создается ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "http://www.2***h.com/?10031/"
Таким образом, изменяется стартовая страница браузера Internet Explorer. - Создаются ярлыки:
%USERPROFILE%\Desktop\Explorer.url
Ярлыки указывают на URL:
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Explorer.urlhttp://www.2***h.com/?10031/
- В браузере Internet Explorer открывается ссылка:
http://www.fx***9.cn/tj/tj.asp?mac=<физический адрес активного
сетевого адаптера>%&ver=<версия ОС>&userid=31
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Восстановить оригинальное значение ключа системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "http://www.***dh.com/?10031/"
- Удалить файлы:
%WinDir%\1001.exe %WinDir%\1002.exe %WinDir%\1003.exe %WinDir%\1004.exe %WinDir%\1005.exe %WinDir%\1006.exe %WinDir%\1007.exe %WinDir%\1008.exe %WinDir%\1009.exe %WinDir%\1010.exe %USERPROFILE%\Desktop\Explorer.url
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Explorer.url - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- Trojan:
Generic. dx!sge (McAfee) - Mal/Packer (Sophos)
- W32/Heuristic-210!Eldorado (FPROT)
- Trojan:
Win32/Sisproc (MS(OneCare)) - Win32/TrojanDownloader.
VB. OLZ trojan (Nod32) - Generic.
Malware. BCdldsp. A71D1F84 (BitDef7) - Packed/FSG (VirusBuster)
- Win32:
Malware-gen (AVAST) - Trojan-Dropper.
Agent (Ikarus) - Downloader.
VB. EFQ (AVG) - TR/Dropper.
Gen (AVIRA) - Trojan.
Gen (NAV) - Suspicious_F.
gen (Norman) - Trojan.
Win32. VBDownLoaderU. a (Rising) - Trojan-Downloader.
Win32. Agent. dmya [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - Packed/FSG (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей