RSS-каналы
Уровень опасности: 1
Trojan-Dropper.Win32.Agent.vac
| Время детектирования | 03 авг 2008 14:35 MSK |
| Время выпуска обновления | 03 авг 2008 17:48 MSK |
| Описание опубликовано | 02 июн 2010 11:12 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 31232 байта. Написана на С++.
Деструктивная активность
После запуска троянец открывает на запись драйвер устройства с именной ссылкой "Prot3". Затем извлекает из своего тела вредоносный драйвер, который сохраняет под таким именем:
%System%\drivers\<rnd1rnd2>.sysгде rnd1 – случайные 3 буквы латинского алфавита, rnd2 – случайные 2 цифры, например " Mbp81" или "Leg30". Данный файл имеет размер 30848 байта и детектируется Антивирусом Касперского как Trojan.Win32.Agent.wou.
Затем для запуска вредоносного драйвера троянец создает службу с таким же именем, что и у вредоносного драйвера. Добавляет в системный реестр следующие значения:
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_
<ИМЯ_ДРАЙВЕРА>\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000]
Service = "<имя_драйвера>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Enum]
0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%\Drivers\<имя_драйвера>.sys"
Group = "SCSI Class"
============== ¦....Caliban... ==============
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Остановить выполнение вредоносной службы.
- Удалить параметры в ключах реестра (как работать с реестром?):
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network\
<имя_драйвера>.sys]
(Default) = "Driver"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_
<ИМЯ_ДРАЙВЕРА>\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000]
Service = "<имя_драйвера>"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "<имя_драйвера>"
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_<ИМЯ_ДРАЙВЕРА>]
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Enum]
0 = "Root\LEGACY_<ИМЯ_ДРАЙВЕРА>\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00
1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00
05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKLM\System\CurrentControlSet\Services\<имя_драйвера>]
Type = 0x00000001
Start = 0x00000000
ErrorControl = 0x00000000
ImagePath = "%System%\Drivers\<имя_драйвера>.sys"
Group = "SCSI Class" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Trojan-Dropper.
- Trojan:
FakeAlert-AG. gen. b (McAfee) - Troj/Pushdo-O (Sophos)
- W32/Dropper.
ZID (FPROT) - TrojanDropper:
Win32/Cutwail. AL (MS(OneCare)) - Trojan.
MulDrop. 17530 (DrWeb) - Win32/Wigon.
DV trojan (Nod32) - Trojan.
Dropper. Kobcka. Gen. 1 (BitDef7) - Trojan.
DR. Agent. HGMP (VirusBuster) - Win32:
Trojan-gen (AVAST) - Win32.
SuspectCrc (Ikarus) - Downloader.
Agent. AIWG (AVG) - TR/Dropper.
Gen (AVIRA) - Trojan.
Pandex (NAV) - W32/Agent.
GRRG (Norman) - Trojan-Dropper.
Win32. Agent. uyt [AVP] (FSecure) - TROJ_CUTWAIL.
SMT (TrendMicro) - Trojan-Dropper.
Win32. Agent. uyt (Sunbelt) - Trojan.
DR. Agent. HGMP (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей