RSS-каналы
Уровень опасности: 1
Trojan-Downloader.Win32.Small.jk
| Время детектирования | 12 май 2004 16:42 MSK |
| Время выпуска обновления | 12 май 2004 16:42 MSK |
| Описание опубликовано | 05 мар 2007 10:58 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другое программное обеспечение и запускает его. Является приложением Windows (PE EXE-файл). Имеет размер 36352 байта. Написана на Borland Delphi.Деструктивная активность
После запуска троянец скачивает файл, расположенный по следующей ссылке:
http://counter.****s.com/2/dk.exe
(На момент создания описания ссылка не работала.)
Если загрузка файла проходит успешно, он сохраняется в корневом каталоге диска С: под именем «alpha.exe» и запускается на исполнение:
C:\alpha.exe
Также вирус добавляет следующие кнопки в «Панель инструментов» браузера Internet Explorer:
Осуществляются подобные изменения путем создания следующих параметров ключей реестра:
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,5"
"Icon"="shell32.dll,4"
"Exec"="http://www.google.com.super-fast-search.apsua.com/find.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
"ButtonText"="ENTERTAINMENT"
"HotIcon"="shell32.dll,12"
"Icon"="shell32.dll,13"
"Exec"="http://www.google.com.super-fast-search.apsua.com/av.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
"ButtonText"="PILLS"
"HotIcon"="shell32.dll,181"
"Icon"="shell32.dll,180"
"Exec"="http://www.google.com.super-fast-search.apsua.com/med.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
"ButtonText"="SECURITY"
"HotIcon"="shell32.dll,194"
"Icon"="shell32.dll,45"
"Exec"="http://www.google.com.super-fast-search.apsua.com/check.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,157"
"Icon"="shell32.dll,155"
"Exec"="http://www.google.com.super-fast-search.apsua.com"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
Дополнительно генерируются ключи реестра, обеспечивающие переадресацию URL при работе с браузером Internet Explorer:
[HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
"(default)"=http://www.google.com.super-fast-search.apsua.com/c/c.pl?url=
[HKLM\Software\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.google.com.super-fast-search.apsua.com/search.htm"
"SearchAssistant"=http://www.google.com.super-fast-search.apsua.com/search.htm
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"=http://www.google.com.super-fast-search.apsua.com/fast-find.htm
[HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
"provider"=""
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл «alpha.ex»e из корневого каталога диска C:
C:\alpha.exe
- Удалить следующие ключи реестра:
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B1}]
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FE5A1910-F121-11d2-BE9E-01C04A7936B2}] [HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FE5A1910-F121-11d2-BE9E-01C04A7936B3}] [HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FE5A1910-F121-11d2-BE9E-01C04A7936B4}] [HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FE5A1910-F121-11d2-BE9E-01C04A7936B5}] - Удалить значения параметров ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
"(default)"[HKLM\Software\Microsoft\Internet Explorer\Search]
"CustomizeSearch"
"SearchAssistant"[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"[HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
"provider" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Trojan-Downloader.
- TrojanDownloader.
Win32. Small. jk («Лаборатория Касперского») - Troj/Dloader-JK (Sophos)
- Trojan.
Downloader. Wallon. A (ClamAV) - Heuristic.
WinPE-Statistical (Panda) - W32/Downloader.
DDC (FPROT) - Worm:
Win32/Wallon. A@mm (MS(OneCare)) - Trojan.
DownLoader. 264 (DrWeb) - Trojan.
Downloader. Wallon. A (BitDef7) - Downloader.
Small. 5. AF (AVG) - TR/Dldr.
Delphi. Gen (AVIRA) - Wallon.
A (Norman) - Trojan-Downloader.
Win32. Small. jk [AVP] (FSecure) - TROJ_WALLON.
A (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей