сайт ALPANF( www.alpanf.ucoz.ru ) Воскресенье, 19.05.2024, 14:53
Приветствую Вас Гость | RSS
Главная | Регистрация | Вход
Меню сайта


Категории раздела
Мои статьи [346]
Мини-чат
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Главная » Статьи » Мои статьи
Trojan-Downloader.Win32.Agent.capa

Деструктивная активность

После активации троянец добавляет свой исполняемый файл в список исключений в Windows XP Firewall:

[HKLM\System\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<путь к оригинальному файлу троянца>" =
"<путь к оригинальному файлу троянца>:*:Enabled:RASS Server"

Если троянец находит в системе файл с именем:

iBank

то производит загрузку файлов с одного из следующих URL:

http://213.182.197.***/update/javaw.exe

Данный файл имеет размер 102400 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayjb.

http://213.182.197.***/update/bss.exe

Данный файл имеет размер 106496 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiv.

http://213.182.197.***/update/fak.exe

Данный файл имеет размер 100864 байта и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Agent.ayiw.

Если троянец находит в системе файлы с именами:

Core.exe
BS-Defender
BSClnt

То троянец производит загрузку файла со следующего URL:

http://213.182.197.***/update/socks5.exe

На момент создания описания ссылка не работала.
Загруженные файлы троянец сохраняет под следующими именами соответственно:

%Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe

После успешного сохранения файлы запускаются на выполнение.
Если троянец находит в системе файл с именем:

LBank

То троянец завершает свою работу.
Также троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "del.bat":

%Temp%\del.bat

В данный файл троянец записывает код для отправки двух ICM пакетов с интервалом в 1 секунду на локальный узел, удаления оригинального тела троянца и самого файла командного интерпретатора. Далее файл запускается на выполнение.


 

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить троянский процесс.
  2. Удалить ключ (системного реестра):
    [HKLM\System\ControlSet001\Services\SharedAccess\
    Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List]
    "<путь к оригинальному файлу троянца>" =
    "< путь к оригинальному файлу троянца> :*:Enabled:RASS Server"
  3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить файлы: 
    %Program Files%\Common Files\sqlserv.exe
%Program Files%\Common Files\sqlbrowser.exe
%Program Files%\Common Files\sql.exe
%Program Files%\Common Files\sqlbrowse.exe
  5. Очистить каталог %Temporary Internet Files% ).
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


 

Категория: Мои статьи | Добавил: alpanf (24.07.2009)
Просмотров: 792
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•
    сайт для всех© 2024Хостинг от uCoz