Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Downloader.Win32.FraudLoad.xdau

Trojan-Downloader.Win32.FraudLoad.xdau

Время детектирования	13 май 2010 10:39 MSK
Время выпуска обновления	13 май 2010 18:05 MSK
Описание опубликовано	01 июл 2010 16:06 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 22528 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++.

Деструктивная активность

После запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует значению "Russian", то троянец удаляет свой оригинальный файл и завершает свою работу. В противном случае, троянец загружает из сети Интернет файлы по следующим ссылкам:

http://aa***rogen.com/ufwnltbz/hyfahpxiq.php?adv=adv447
http://aa***rogen.com/ufwnltbz/hypwhc.php?adv=adv447
http://aa***rogen.com/ufwnltbz/oriqbjdp.php?adv=adv447
http://aa***rogen.com/ufwnltbz/kkemu.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fwevpovto.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fwelcx.php?adv=adv447
http://aa***rogen.com/ufwnltbz/yptozgozmu.php?adv=adv447
http://aa***rogen.com/ufwnltbz/imwaic.php?adv=adv447
http://aa***rogen.com/ufwnltbz/gnemtrzxsn.php?adv=adv447
http://aa***rogen.com/ufwnltbz/wzdcjrp.php?adv=adv447
http://aa***rogen.com/ufwnltbz/fjnvpk.php?adv=adv447
http://aa***rogen.com/ufwnltbz/rvqxfn.php?adv=adv447
http://aa***rogen.com/ufwnltbz/txrzxs.php
?adv=adv447&code1=LNLF&code2=<rnd1>&id=<rnd2>&p=1

где <rnd1>, <rnd2> – случайные десятичные числа.

Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались.

Далее троянец для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами:

/c del <полный путь к оригинальному файлу троянца> > nul

После этого троянец завершает свою работу.

Резюме

Worm. Создает свои копии на локальных дисках и доступных для записи сетевых ресурсах

Backdoor. Предоставляет злоумышленнику удаленный доступ к зараженному компьютеру

Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

Trojan. Выполняет действия, характерные для вредоносных программ

Осуществляет сетевую активность

Технические детали

Имеет размер 22528 байт.

Методы проникновения

- Запуск зараженного файла из локальной сети

Инсталляция

Создает следующие файлы на зараженном компьютере:

c:\lsass.exe (детектируется антивирусом Касперского как Trojan.Win32.Vilsel.aeel)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN3.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN4.tmp
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\Changer.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\i2omgmt.sys.bak
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\5yc5z8f43.bat
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\ogzrjew.log
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\lbrtfdc.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\PCIDump.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\PDCOMP.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\PDFRAME.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\PDRELI.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\PDRFRAME.sys.bak
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\WDICA.sys.bak
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\47f1b40f.tmp
C:\RECYCLER\S-1-5-21-0218059769-0680777946-922278875-2374\Desktop.ini

Вредоносная активность

Создает файлы:

- в открытых на общий доступ сетевых ресурсах локальных компьютеров со следующими именами:

asyncmac.sys.bak
asyncmac.sys
atmarpc.sys.bak
atmarpc.sys
Cdaudio.sys.bak
Cdaudio.sys
Changer.sys.bak
Changer.sys
Flpydisk.sys.bak
Flpydisk.sys
i2omgmt.sys.bak
i2omgmt.sys
imapi.sys.bak
imapi.sys
ip6fw.sys.bak
ip6fw.sys
ipfltdrv.sys.bak
ipfltdrv.sys
ipinip.sys.bak
ipinip.sys
ipnat.sys.bak

и другие...

Получает По команде злоумышленника программа выполняет заложенные в нее вредоносные функции. Например, проведение сетевых атак на Интернет-сайты, рассылка спама и других вредоносных программ, удаление файлов пользователя. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007610команды удалённого управления от злоумышленника:

путем открытия Открывает один или несколько сетевых портов на зараженном компьютере и прослушивает их, ожидая когда кто-либо выполнит соединение с этим портом. Как правило, вредоносная программа выполняет проверку подлинности подключившегося и только после этого предоставляет злоумышленнику доступ к зараженному компьютерусетевых портов

14348
40996

Создает следующие файлы:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dwpac.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dhbiv.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\uuruxits.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\yneqlluv.exe (детектируется антивирусом Касперского как Trojan.Win32.Agent2.crmb)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cptaah.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\egoxym.exe (детектируется антивирусом Касперского как Trojan.Win32.Vilsel.aeel)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\kjiipo.exe (детектируется антивирусом Касперского как Trojan-Ransom.Win32.XBlocker.abb)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN1.tmp (детектируется антивирусом Касперского как Backdoor.Win32.Protector.al)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN2.tmp (детектируется антивирусом Касперского как Backdoor.Win32.VB.lss)
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Microsoft\svchost.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\b8n8nse.exe (детектируется антивирусом Касперского как Backdoor.Win32.VB.lss)

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "16017" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\egoxym.exe"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "Startup" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Microsoft\svchost.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ] "rf4qy" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\b8n8nse.exe"

Следующие файлы запускаются на исполнение:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dwpac.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dhbiv.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\uuruxits.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\yneqlluv.exe (осуществляется многократный запуск)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cptaah.exe (осуществляется многократный запуск)
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\egoxym.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\kjiipo.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN1.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN2.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\b8n8nse.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\b8n8nse.exe -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
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\b8n8nse.exe -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

Изменяет состояние следующих системных служб:

Имя службы: Windows Security Center

Состояние: остановлена

Имя службы: Windows Security Center Service

Имя службы: SharedAccess

Внедряет свой код в следующие процессы:

cptaah.exe
IEXPLORE.EXE
yneqlluv.exe

Модифицирует (удаляет) системные файлы ОС Windows:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\asyncmac.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\atmarpc.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\Cdaudio.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\Flpydisk.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\imapi.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\ip6fw.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\ipfltdrv.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\ipinip.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\etc\hosts
Описание:
Модифицирует файл HOSTS (%System%\drivers\etc\hosts), прописывая туда собственные соответствия. Это приводит к тому, что при обращении к перечисленным серверам, операционная система обнаруживает соответствия в файле HOSTS и направляет запросы на другой IP-адрес
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\ipnat.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\irenum.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\Modem.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\nwlnkflt.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\nwlnkfwd.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\processr.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\redbook.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\secdrv.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\Sfloppy.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\TDPIPE.sys
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\vga.sys

Копирует следующие файлы в скрытые директории:

Desktop.ini

Проверяет наличие доступа в Интернет на зараженной машине

Создает соединение со следующими адресами в Интернете:

***rater.dyndns.biz:3596
***.220.185.76:14348
***.171.175.159:14348
***.152.8.250:14348
***.155.38.116:14348
***.22.75.97:2842
***.84.131.242:14348
***.126.111.121:14348
***.71.173.135:14348
***.25.144.163:14348
***.46.82.5:2842
***.165.140.100:14348
***.226.89.200:14348
***.173.188.59:14348
***.123.136.37:14348
***.120.105.76:14348
***.105.146.223:14348
***.123.240.97:14348
***.117.246.86:14348
***.143.170.254:14348
***.253.142.181:14348

и другие...

Обращается к следующим адресам в Интернете:

http://***ydrogen.com/ufwnltbz/yptozgozmu.php?adv=adv447
http://***ydrogen.com/ufwnltbz/imwaic.php?adv=adv447
http://***ydrogen.com/ufwnltbz/oriqbjdp.php?adv=adv447
http://***ydrogen.com/ufwnltbz/rvqxfn.php?adv=adv447
http://***ydrogen.com/ufwnltbz/fjnvpk.php?adv=adv447
http://***ydrogen.com/ufwnltbz/wzdcjrp.php?adv=adv447
http://***ydrogen.com/ufwnltbz/hypwhc.php?adv=adv447
http://***ydrogen.com/ufwnltbz/hyfahpxiq.php?adv=adv447
http://***ydrogen.com/ufwnltbz/fwevpovto.php?adv=adv447
http://***ydrogen.com/ufwnltbz/fwelcx.php?adv=adv447
http://***ydrogen.com/ufwnltbz/gnemtrzxsn.php?adv=adv447
http://***ydrogen.com/ufwnltbz/kkemu.php?adv=adv447
http://***ydrogen.com/ufwnltbz/txrzxs.php?adv=adv447&code1=IMP0&code2=7002&id=-1878068295&p=1
http://***tocks.com/ufwnltbz/wzdcjrp.php?adv=adv447
http://***ydrogen.com/ufwnltbz/evmhfzlfe.php?id=-1878068295&p=1
http://***tocks.com/ufwnltbz/imwaic.php?adv=adv447
http://***.0.203.114/foto21.rar
http://***tocks.com/ufwnltbz/gnemtrzxsn.php?adv=adv447
http://***tocks.com/ufwnltbz/kkemu.php?adv=adv447
http://***zcom.com/vs/xv2.txt
http://***zcom.com/vs/xv4.txt

и другие...

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

Global\{5fbff9d3-7153-e675-d00c-13cb52b650d6}
Ms32Dll
ZonesCounterMutex
ZonesCacheCounterMutex
ZonesLockedCacheCounterMutex
F5UAJ60FBF
F5UAJ60FBF1
CTF.LBES.MutexDefaultS-1-5-21-1715567821-1757981266-839522115-1003
CTF.Compart.MutexDefaultS-1-5-21-1715567821-1757981266-839522115-1003
CTF.Asm.MutexDefaultS-1-5-21-1715567821-1757981266-839522115-1003
CTF.Layouts.MutexDefaultS-1-5-21-1715567821-1757981266-839522115-1003
CTF.TMD.MutexDefaultS-1-5-21-1715567821-1757981266-839522115-1003
b8n8nse.exerf4qy
Global\acrobat201

Прочие действия

Производит запуск следующих файлов (команд):

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cmd.exe /c del Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\kjiipo.exe >> NUL
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\iexplore.exe

Изменяет состояние следующих системных служб:

Имя службы: Windows Firewall/Internet Connection Sharing (ICS)

Состояние: остановлена

Ищет следующие окна:

Класс: MS_AutodialMonitor

Класс: MS_WebcheckMonitor

Класс: Acrobat Viewer

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Internet Explorer\Main ] "DHCP" = "1025666"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Default ] "FileNameActual" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cptaah.exe"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Default ] "FileNameFinal" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Microsoft\svchost.exe"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Internet Explorer\Main ] "Enable Browser Extensions" = "yes"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Internet Explorer\Main ] "DNS" = "75CD82B9,29FB2DAD,75C84713,BA684B41,505F5E9D,C88B97EA,C95C9EA5,5F2DEB83,298DC56C,AC9E0F78,73F0E570,546C6D41,D4105787,75CE6132,566C3F94,426135AF,298DE919,4DFE0E45,51C06BA2,7C29D248,7C524294,77C52EAE,DB44C018,75FE04AF,70CBA470,5E344682,79F549C8,5DAF2842,77E23162,C8E24ED6,79608623,74288957,1BF8BB63,63921B34,75C7335B,D516399E,50626C03,4F761C9F,547D7FAD,CF3AED88,70C9A0BC,4FAFB093,7DE8824B,77CF0AEB,4E27ED27,50BA1141,53F945E1,55402BAD,C953A2B7,73F018CD,298C75D3,80AD5466,7C78694C,43BE6E14,7C7B8825,29D6CF7F,592450BF,D537456E,75C795E4,3B61E9C4,7C7BF061,6EE052AF,51B72355,BD137DCF,4AC43132,7798FCC9,779A69CC,73F0A3E6,3B675ABE,58DF23A6,75C6E23C,5986990D,29FAB2AE,706E737F,7560042A,BCF74559,4FADFCA2,55553171,73F0B4E6,75FEEBF3,75FE234B,5EC4DE79,3A094557,5579199A,5C565D1D,7C7D27B9,41229847,765F2DDB,4E084714,75C97223,BC246702,D9CA92F0,4F76B3C1,C94A8C61,566C21F3,BD62E0F3,298C5A7A,3B5DF3B2,51C0AF02,29D2EBD4,B2241B92,18BC06A1,6EE34F6B,C8A856A8,3D5A5B43,BA18A00B,75CC72D7,3D11D599,4E585B7B,47504DB2,296B3800,581C6C67,75CCA829,BB74D723,567F340F,73BA1317"

Удаляет следующие параметры ключей системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "Adobe Reader Speed Launcher" = ""

Описание:
Используется для автозапуска файлов при загрузке ОС Windows

Удаляет следующие файлы на зараженном компьютере:

Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dwpac.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dhbiv.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cptaah.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\kjiipo.exe
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN2.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN3.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\BN4.tmp
\\127.0.0.1\admin$\system32\drivers\asyncmac.sys.bak
\\127.0.0.1\admin$\system32\drivers\atmarpc.sys.bak
\\127.0.0.1\admin$\system32\drivers\Cdaudio.sys.bak
\\127.0.0.1\admin$\system32\drivers\Changer.sys
\\127.0.0.1\admin$\system32\drivers\Flpydisk.sys.bak
tmp.htm
\\127.0.0.1\admin$\system32\drivers\i2omgmt.sys
\\127.0.0.1\admin$\system32\drivers\imapi.sys.bak
\\127.0.0.1\admin$\system32\drivers\ip6fw.sys.bak
\\127.0.0.1\admin$\system32\drivers\ipfltdrv.sys.bak
\\127.0.0.1\admin$\system32\drivers\ipinip.sys.bak
\\127.0.0.1\admin$\system32\drivers\ipnat.sys.bak
\\127.0.0.1\admin$\system32\drivers\irenum.sys.bak
\\127.0.0.1\admin$\system32\drivers\lbrtfdc.sys

и другие...

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.FraudLoad.fva

Trojan-Downloader.Win32.FraudLoad.fxq

Trojan-Downloader.Win32.FraudLoad.gmx

Trojan-Downloader.Win32.FraudLoad.gsw

Trojan-Downloader.Win32.FraudLoad.gya

Trojan-Downloader.Win32.FraudLoad.gyk

Trojan-Downloader.Win32.FraudLoad.gym

Trojan-Downloader.Win32.FraudLoad.gzl

Trojan-Downloader.Win32.FraudLoad.vote

Trojan-Downloader.Win32.FraudLoad.wvff

Trojan-Downloader.Win32.FraudLoad.wwie

Trojan-Downloader.Win32.FraudLoad.wxpf

Trojan-Downloader.Win32.FraudLoad.wxpy

Trojan-Downloader.Win32.FraudLoad.xezr

Trojan-Downloader.Win32.FraudLoad.xfaj

Trojan-Downloader.Win32.FraudLoad.xfms

Trojan-Downloader.Win32.FraudLoad.xsnr

Другие названия

Trojan-Downloader.Win32.FraudLoad.xdau («Лаборатория Касперского») также известен как:

Trojan: Generic Downloader.x!dxi (McAfee)
Troj/Harnig-CE (Sophos)
Trj/Zlob.KH (Panda)
TrojanDownloader:Win32/Harnig.gen!P (MS(OneCare))
Trojan.Advload.15 (DrWeb)
Win32/TrojanDownloader.Small.OVG trojan (Nod32)
Trojan.Generic.KD.11557 (BitDef7)
Trojan.DL.FraudLoad.ABNJ (VirusBuster)
Win32:Crypt-GKP [Drp] (AVAST)
Virus.Win32.Injector (Ikarus)
Cryptic.IG (AVG)
TR/Dldr.FraudLoad.xdau (AVIRA)
Downloader (NAV)
W32/Crypt.AJEY (Norman)
Trojan-Downloader.Win32.FraudLoad.xdau [AVP] (FSecure)
Cryp_Bredlab2 (TrendMicro)
Trojan-Downloader.Win32.Harnig (Sunbelt)
Trojan.DL.FraudLoad.ABNJ (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com

Имя службы:	Windows Security Center
Состояние:	остановлена
Имя службы:	Windows Security Center Service
Имя службы:	SharedAccess

Имя службы:	Windows Firewall/Internet Connection Sharing (ICS)
Состояние:	остановлена

Класс:	MS_AutodialMonitor
Класс:	MS_WebcheckMonitor
Класс:	Acrobat Viewer