RSS-каналы
Уровень опасности: 1
Trojan-Proxy.Win32.Mitglieder.o
| Время детектирования | 27 фев 2004 16:59 MSK |
| Время выпуска обновления | 27 фев 2004 16:59 MSK |
| Описание опубликовано | 05 мар 2007 13:29 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, запускающая почтовый прокси-сервер на компьютере пользователя. Является библиотекой Windows (DLL-файл). Имеет размер 27136 байт.
Инсталляция
Данный троянец инсталлируется в систему при помощи других вредоносных программ.
Для автоматической загрузки при каждом последующем старте операционной системы вирус добавляет ссылку на компонент, загружающий троянскую библиотеку, в ключ автозапуска системного реестра:
"RealUpdater" = "<путь и имя исполняемого файла компонента>"
Также создается ключ реестра, в котором хранятся настройки троянца:
[HKCU\Software\Timeout]
Деструктивная активность
Троянская программа создает SMTP прокси-сервер на произвольном TCP-порту. Затем отправляет номер порта, на котором запущен proxy, в URL-запросе на сайт злоумышленника.
В результате зараженная машина может использоваться в зомби-сети для рассылки спама.
Троянец скачивает обновления для своего исполняемого файла по следующим ссылкам:
http://69.28.***.195/cgi-bin/get.cgi http://www.ftops****.com/cgi-bin/get.cgi http://www.g***port.biz/cgi-bin/get.cgi
Обновления запускаются на исполнение после того как вирус сохранит их в корневом каталоге Windows:
%WinDir%\realupd.exe
Также троян похищает пароли к учетным записям из файлов данных следующих ICQ и почтовых клиентов:
Trillian Miranda Mirabilis ICQ TheBat! Outlook
Троянская программа отправляет на сайт злоумышленника собранные данные, а также информацию о версии установленной ОС и времени работы троянца.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
%WinDir%\realupd.exe
- Удалить следующий параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"RealUpdater" - Удалить ключ реестра:
[HKCU\Software\Timeout]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
Данный тип вредоносных программ обычно используется при рассылке спама через заражённые компьютеры.
Trojan-Proxy.
- TrojanProxy.
Win32. Mitglieder. o («Лаборатория Касперского») - Virus:
W32/Bagle. dll. gen (McAfee) - Troj/Mitglied-N (Sophos)
- Trojan.
Proxy. W32. Mitglieder. O (ClamAV) - W32/Mitglieder.
J. worm (Panda) - W32/Mitglieder.
DC (FPROT) - TrojanProxy:
Win32/Mitglieder. O (MS(OneCare)) - Win32.
HLLM. Beagle. 35328 (DrWeb) - Win32/TrojanProxy.
Mitglieder. O trojan (Nod32) - TrojanProxy.
Mitglieder. I (VirusBuster) - Win32:
Mitglieder-P [Trj] (AVAST) - MalwareScope.
Trojan-PWS. Pinch. 1 (Ikarus) - Proxy.
2. BH (AVG) - TR/Spy.
Gen (AVIRA) - Trojan.
Mitglieder. I (NAV) - W32/Mitglied.
L/M (Norman) - W32/Bagle.
dll. gen (NAI) - TROJ_MTGLIED.
GEN (PCCIL) - Trojan.
Proxy. Mitglieder. ba (Rising) - TROJ_MTGLIED.
GEN (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей