Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-Dropper.Win32.Agent.cdqo

Trojan-Dropper.Win32.Agent.cdqo

Время детектирования 02 июн 2010 07:19 MSK
Время выпуска обновления 02 июн 2010 14:28 MSK
Описание опубликовано 02 июл 2010 16:40 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Упакована неизвестным упаковщиком. Распакованный размер около Написана на С++.


Деструктивная активность

После запуска троянец извлекает из своего тела файл во временный каталог текущего пользователя Windows с именем "<rnd>.tmp" (где <rnd> - набор случайных цифр и больших латинских букв, например, "D" или "A1") : 

%Temp%\<rnd>.tmp
Данный файл имеет размер 20480 байт и детектируется антивирусом Касперского как Trojan.Win32.Agent.eefd.

Троянец создает копию извлеченного файла в системном каталоге Windows с именем "wcpm.eso": 

%System%\wcpm.eso
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на вредоносный файл в ключ автозапуска системного реестра: 
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe rundll32.exe wcpm.eso kpcovkl"
После этого троянец создает процесс с именем "svchost.exe": 
svchost.exe
В данный процесс внедряет вредоносный код. При наличии на компьютере пользователя пакета приложений "Microsoft Office" вредоносный код, внедренный в процесс, создает макрос, запускающий вредоносный файл, извлеченный во временный каталог текущего пользователя Windows с именем "<rnd>.tmp".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы: 
    %Temp%\.tmp
%System%\wcpm.eso
  3. Восстановить значение параметра ключа системного реестра на следующее (системного реестра): 
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
  4. При помощи Диспетчера задач завершить вредоносный процесс, запущенный от имени текущего пользователя Windows: svchost.exe
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-Dropper

Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.

Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

  • скрытной инсталляции троянских программ и вирусов;
  • защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.

Другие модификации
Trojan-Dropper.Win32.Agent.aaj
Trojan-Dropper.Win32.Agent.adi
Trojan-Dropper.Win32.Agent.aejs
Trojan-Dropper.Win32.Agent.aflx
Trojan-Dropper.Win32.Agent.aga
Trojan-Dropper.Win32.Agent.agq
Trojan-Dropper.Win32.Agent.agqq
Trojan-Dropper.Win32.Agent.agya
Trojan-Dropper.Win32.Agent.aiad
Trojan-Dropper.Win32.Agent.aiar
Trojan-Dropper.Win32.Agent.ajtw
Trojan-Dropper.Win32.Agent.akap
Trojan-Dropper.Win32.Agent.albv
Trojan-Dropper.Win32.Agent.aptu
Trojan-Dropper.Win32.Agent.ate
Trojan-Dropper.Win32.Agent.athk
Trojan-Dropper.Win32.Agent.awwv
Trojan-Dropper.Win32.Agent.ayft
Trojan-Dropper.Win32.Agent.ayqa
Trojan-Dropper.Win32.Agent.bc
Trojan-Dropper.Win32.Agent.bcyx
Trojan-Dropper.Win32.Agent.bgn
Trojan-Dropper.Win32.Agent.bh
Trojan-Dropper.Win32.Agent.bot
Trojan-Dropper.Win32.Agent.bumn
Trojan-Dropper.Win32.Agent.buxt
Trojan-Dropper.Win32.Agent.bv
Trojan-Dropper.Win32.Agent.bvgj
Trojan-Dropper.Win32.Agent.bwlr
Trojan-Dropper.Win32.Agent.cbjo
Trojan-Dropper.Win32.Agent.cckn
Trojan-Dropper.Win32.Agent.cegg
Trojan-Dropper.Win32.Agent.ceqq
Trojan-Dropper.Win32.Agent.cfrh
Trojan-Dropper.Win32.Agent.cmds
Trojan-Dropper.Win32.Agent.cnyq
Trojan-Dropper.Win32.Agent.cpyu
Trojan-Dropper.Win32.Agent.cqog
Trojan-Dropper.Win32.Agent.crbk
Trojan-Dropper.Win32.Agent.csrb
Trojan-Dropper.Win32.Agent.csxg
Trojan-Dropper.Win32.Agent.cvva
Trojan-Dropper.Win32.Agent.cwsh
Trojan-Dropper.Win32.Agent.cwsw
Trojan-Dropper.Win32.Agent.cwzh
Trojan-Dropper.Win32.Agent.cxdv
Trojan-Dropper.Win32.Agent.czms
Trojan-Dropper.Win32.Agent.czxz
Trojan-Dropper.Win32.Agent.dcbd
Trojan-Dropper.Win32.Agent.delm
Trojan-Dropper.Win32.Agent.dfqk
Trojan-Dropper.Win32.Agent.dnvu
Trojan-Dropper.Win32.Agent.dvyh
Trojan-Dropper.Win32.Agent.dwis
Trojan-Dropper.Win32.Agent.dwpo
Trojan-Dropper.Win32.Agent.ezqm
Trojan-Dropper.Win32.Agent.lg
Trojan-Dropper.Win32.Agent.mc
Trojan-Dropper.Win32.Agent.vac
Trojan-Dropper.Win32.Agent.vw
Trojan-Dropper.Win32.Agent.xsd
Trojan-Dropper.Win32.Agent.zlo

Другие названия

Trojan-Dropper.Win32.Agent.cdqo («Лаборатория Касперского») также известен как:

  • Trojan: Generic Dropper!dej (McAfee)
  • Mal/Generic-L (Sophos)
  • Trojan.Agent-164991 (ClamAV)
  • Trj/Downloader.MDW (Panda)
  • TrojanDropper:Win32/Oficla.N (MS(OneCare))
  • Trojan.MulDrop1.25147 (DrWeb)
  • Win32/Oficla.HL trojan (Nod32)
  • Gen:Trojan.Heur.GZ.bCW@bCu0oPp (BitDef7)
  • Trojan.DR.Agent.WKGE (VirusBuster)
  • Win32:Malware-gen (AVAST)
  • Trojan-Dropper.Win32.Oficla (Ikarus)
  • Generic18.XA (AVG)
  • TR/Spy.20480.1055 (AVIRA)
  • Downloader.MisleadApp (NAV)
  • Smalltroj.YRJT (Norman)
  • Trojan.Win32.Generic.520706F4 (Rising)
  • Trojan-Dropper.Win32.Agent.cdqo [AVP] (FSecure)
  • TROJ_DROPPER.OUX (TrendMicro)
  • Trojan.Win32.Sasfis.a (v) (Sunbelt)
  • Trojan.DR.Agent.WKGE (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск