Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Downloader.Win32.Agent.ac

Trojan-Downloader.Win32.Agent.ac

Время детектирования	27 ноя 2004 09:08 MSK
Время выпуска обновления	27 ноя 2004 09:08 MSK
Описание опубликовано	28 авг 2006 18:54 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа-загрузчик, которая без ведома пользователя скачивает из интернета другие вредоносные программы и рекламу.

Программа является приложением Windows (PE EXE-файл). Написана на С++. Размер зараженных файлов может незначительно варьироваться в пределах от 62 до 77 КБ.

Инсталляция

Троянец регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Upsfctl"="<путь до файла троянца>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

В различных версиях данного троянца имя параметра ключа может варьироваться.

Деструктивная активность

Троянец считывает конфигурацию для своей работы из файлов preference.dat и index.dat, которые находятся в папке, на которую указывают параметры одного из следующих ключей системного реестра:

[HKLM\Software\Tat]
[HKCU\Software\Tat]
Data=<app>

[HKCU\Software\DelFin\PromulGate]
[HKLM\Software\DelFin\PromulGate]
Install=<app>
Data=<app>

[HKCU\Software\Pcsv]
[HKLM\Software\Pcsv]
Data=<app>

[HKLM\Software\Dvx]
[HKCU\Software\Dvx]
Data=<app>

В процессе своей работы троянец создает следующий ключ реестра, в котором хранит свои настройки:

[HKLM\Software\Dvx]

Троянец проверяет наличие соединения с интернетом, пытаясь установить связь со следующим адресом:

mm.delfinproject.com

В случае наличия соединения троянец без ведома пользователя скачивает файл по следующей ссылке:

content.delfinproject.com/**/download/.....

Затем сохраняет скачанный файл во временном каталоге Windows с именем:

%Temp%\srtin.exe

После чего запускает его на исполнение.

Троянец сохраняет информацию о результате последней загрузки файла в следующий ключ реестра:

[HKLM\Software\Upsf]

На момент создания описания скачанный файл детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.DelphinMediaViewer.f.

Рекомендации по удалению

При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить загруженный файл:
%Temp%\srtin.exe
Удалить созданные троянцем ключи системного реестра:
[HKLM\Software\Dvx]
[HKLM\Software\Upsf]
Удалить следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Upsfctl"="<путь до файла троянца>"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.Agent.ahoe

Trojan-Downloader.Win32.Agent.alr

Trojan-Downloader.Win32.Agent.bcki

Trojan-Downloader.Win32.Agent.bdxm

Trojan-Downloader.Win32.Agent.bfjx

Trojan-Downloader.Win32.Agent.bg

Trojan-Downloader.Win32.Agent.bgol

Trojan-Downloader.Win32.Agent.bhhu

Trojan-Downloader.Win32.Agent.bl

Trojan-Downloader.Win32.Agent.bmc

Trojan-Downloader.Win32.Agent.bqpy

Trojan-Downloader.Win32.Agent.brit

Trojan-Downloader.Win32.Agent.bvz

Trojan-Downloader.Win32.Agent.bxpa

Trojan-Downloader.Win32.Agent.capa

Trojan-Downloader.Win32.Agent.cfns

Trojan-Downloader.Win32.Agent.clbm

Trojan-Downloader.Win32.Agent.cmrv

Trojan-Downloader.Win32.Agent.cpcc

Trojan-Downloader.Win32.Agent.cpnc

Trojan-Downloader.Win32.Agent.cpqx

Trojan-Downloader.Win32.Agent.cqdn

Trojan-Downloader.Win32.Agent.csfm

Trojan-Downloader.Win32.Agent.cvbv

Trojan-Downloader.Win32.Agent.cvbx

Trojan-Downloader.Win32.Agent.cvha

Trojan-Downloader.Win32.Agent.cvow

Trojan-Downloader.Win32.Agent.cvpq

Trojan-Downloader.Win32.Agent.cwen

Trojan-Downloader.Win32.Agent.cwlb

Trojan-Downloader.Win32.Agent.dbll

Trojan-Downloader.Win32.Agent.dilt

Trojan-Downloader.Win32.Agent.dkpv

Trojan-Downloader.Win32.Agent.dldj

Trojan-Downloader.Win32.Agent.dldk

Trojan-Downloader.Win32.Agent.dlev

Trojan-Downloader.Win32.Agent.dlyf

Trojan-Downloader.Win32.Agent.dmya

Trojan-Downloader.Win32.Agent.dotv

Trojan-Downloader.Win32.Agent.doxj

Trojan-Downloader.Win32.Agent.dxqs

Trojan-Downloader.Win32.Agent.eakq

Trojan-Downloader.Win32.Agent.ecwi

Trojan-Downloader.Win32.Agent.ed

Trojan-Downloader.Win32.Agent.eed

Trojan-Downloader.Win32.Agent.eesv

Trojan-Downloader.Win32.Agent.efce

Trojan-Downloader.Win32.Agent.efep

Trojan-Downloader.Win32.Agent.effm

Trojan-Downloader.Win32.Agent.efgz

Trojan-Downloader.Win32.Agent.efoa

Trojan-Downloader.Win32.Agent.efuq

Trojan-Downloader.Win32.Agent.ehcj

Trojan-Downloader.Win32.Agent.ehfk

Trojan-Downloader.Win32.Agent.ejui

Trojan-Downloader.Win32.Agent.ekbl

Trojan-Downloader.Win32.Agent.eldb

Trojan-Downloader.Win32.Agent.elej

Trojan-Downloader.Win32.Agent.eljy

Trojan-Downloader.Win32.Agent.elrc

Trojan-Downloader.Win32.Agent.emi

Trojan-Downloader.Win32.Agent.fdi

Trojan-Downloader.Win32.Agent.fk

Trojan-Downloader.Win32.Agent.flkh

Trojan-Downloader.Win32.Agent.flnw

Trojan-Downloader.Win32.Agent.fpp

Trojan-Downloader.Win32.Agent.fqbf

Trojan-Downloader.Win32.Agent.fs

Trojan-Downloader.Win32.Agent.fuzq

Trojan-Downloader.Win32.Agent.fvcq

Trojan-Downloader.Win32.Agent.fwcp

Trojan-Downloader.Win32.Agent.gdmw

Trojan-Downloader.Win32.Agent.gfew

Trojan-Downloader.Win32.Agent.gfpt

Trojan-Downloader.Win32.Agent.gknt

Trojan-Downloader.Win32.Agent.gxvs

Trojan-Downloader.Win32.Agent.jc

Trojan-Downloader.Win32.Agent.kr

Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.pj

Trojan-Downloader.Win32.Agent.qlh

Trojan-Downloader.Win32.Agent.rs

Trojan-Downloader.Win32.Agent.td

Trojan-Downloader.Win32.Agent.teqa

Trojan-Downloader.Win32.Agent.tuc

Trojan-Downloader.Win32.Agent.uj

Trojan-Downloader.Win32.Agent.zf

Другие названия

Trojan-Downloader.Win32.Agent.ac («Лаборатория Касперского») также известен как:

TrojanDownloader.Win32.Agent.ac («Лаборатория Касперского»)
App: Downloader-JS (McAfee)
Trojan.Downloader-1974 (ClamAV)
Trj/Downloader.OE (Panda)
W32/Agent.bf (FPROT)
Adware:Win32/Verticity.B (MS(OneCare))
Trojan.DownLoader.61440 (DrWeb)
Win32/TrojanDownloader.Agent.AC trojan (Nod32)
Application.Adware.IEDriver.A (BitDef7)
Trojan.DL.Agent.FU (VirusBuster)
Win32:Trojan-gen (AVAST)
Trojan-Dropper.Agent (Ikarus)
Downloader.Agent.AJCE (AVG)
TR/Dldr.Agent.AC (AVIRA)
Adware.Delfin (NAV)
W32/Agent.FT (Norman)
Trojan.DL.Agent.oh (Rising)
Trojan-Downloader.Win32.Agent.ac [AVP] (FSecure)
TROJ_AGENT.CF (TrendMicro)
eXact.BargainBuddy (Sunbelt)
Trojan.DL.Agent.FU (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com