Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Trojan-Spy.Win32.Agent.dtd

Главная / Описания / Trojan-Spy.Win32.Agent.dtd

Печать		 Bookmark and Share
Закладки
Время детектирования 09 авг 2008 17:30 MSK
Время выпуска обновления 09 авг 2008 21:00 MSK
Описание опубликовано 02 ноя 2009 14:54 MSK
Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл: 

%System%\reglakok.exe
Для автоматического запуска созданной копии при каждом следующем старте системы троянец создает ключ системного реестра: 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"reglakok.exe" = "%System%\reglakok.exe"
После этого троянец удаляет свой оригинальный файл, запускает созданную копию и завершает свою работу.


Деструктивная активность

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файл, который сохраняется в системе как 
    %System%\reglako.dll
    (24576 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.sgpq")
  • Изменяет значение ключа системного реестра: 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "...reglako.dll"
    Таким образом, извлеченная троянцем библиотека будет внедряться в адресное пространство каждого процесса, запускаемого в системе.
После этого троянец завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить ключ системного реестра (как работать с реестром?): 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"reglakok.exe" = "%System%\reglakok.exe"
  2. Восстановить исходное значение ключа системного реестра (как работать с реестром?): 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "...reglako.dll"
  3. Перезагрузить компьютер.
  4. Удалить файлы: 
    %System%\reglakok.exe
%System%\reglako.dll
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Вредоносные программы
Троянские программы
Trojan-Spy

Вредоносная программа, предназначенная для ведение электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Другие модификации

Trojan-Spy.Win32.Agent.fa

Trojan-Spy.Win32.Agent.o

Другие названия

Trojan-Spy.Win32.Agent.dtd («Лаборатория Касперского») также известен как:

  • Trojan: PWS-OnlineGames.bj (McAfee)
  • Mal/Dropper-Y (Sophos)
  • Trojan.Spy-49294 (ClamAV)
  • W32/Trojan2.CKKI (FPROT)
  • TrojanSpy:Win32/Treemz.gen!A (MS(OneCare))
  • Trojan.PWS.Wsgame.6959 (DrWeb)
  • Trojan.Generic.706263 (BitDef7)
  • Win32:Agent-ZRP [Trj] (AVAST)
  • Downloader.Downloader.DNSChanger (Ikarus)
  • PSW.OnlineGames.AXBF (AVG)
  • HEUR/Malware (AVIRA)
  • Infostealer.Gampass (NAV)
  • PWS-OnlineGames.bj (NAI)
  • TSPY_ONLINEG.CHS (PCCIL)
  • Trojan.PSW.Win32.GameOL.peb (Rising)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей