Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Spy.Win32.Agent.dtd

Trojan-Spy.Win32.Agent.dtd

Время детектирования	09 авг 2008 17:30 MSK
Время выпуска обновления	09 авг 2008 21:00 MSK
Описание опубликовано	02 ноя 2009 14:54 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\reglakok.exe

Для автоматического запуска созданной копии при каждом следующем старте системы троянец создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"reglakok.exe" = "%System%\reglakok.exe"

После этого троянец удаляет свой оригинальный файл, запускает созданную копию и завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

извлекает из своего тела файл, который сохраняется в системе как
```
%System%\reglako.dll
```
(24576 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.sgpq")
Изменяет значение ключа системного реестра:
```
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "...reglako.dll"
```
Таким образом, извлеченная троянцем библиотека будет внедряться в адресное пространство каждого процесса, запускаемого в системе.

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить ключ системного реестра (как работать с реестром?):
```
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"reglakok.exe" = "%System%\reglakok.exe"
```
Восстановить исходное значение ключа системного реестра (как работать с реестром?):
```
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "...reglako.dll"
```
Перезагрузить компьютер.

Удалить файлы:

%System%\reglakok.exe
%System%\reglako.dll

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Spy

Вредоносная программа, предназначенная для ведение электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Другие модификации

Trojan-Spy.Win32.Agent.fa

Trojan-Spy.Win32.Agent.o

Другие названия

Trojan-Spy.Win32.Agent.dtd («Лаборатория Касперского») также известен как:

Trojan: PWS-OnlineGames.bj (McAfee)
Mal/Dropper-Y (Sophos)
Trojan.Spy-49294 (ClamAV)
W32/Trojan2.CKKI (FPROT)
TrojanSpy:Win32/Treemz.gen!A (MS(OneCare))
Trojan.PWS.Wsgame.6959 (DrWeb)
Trojan.Generic.706263 (BitDef7)
Win32:Agent-ZRP [Trj] (AVAST)
Downloader.Downloader.DNSChanger (Ikarus)
PSW.OnlineGames.AXBF (AVG)
HEUR/Malware (AVIRA)
Infostealer.Gampass (NAV)
PWS-OnlineGames.bj (NAI)
TSPY_ONLINEG.CHS (PCCIL)
Trojan.PSW.Win32.GameOL.peb (Rising)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com