| Меню сайта |
|
 |
| Категории новостей |
|
|
| Гороскопы |
|
|
| Мини-чат |
|
|
|
| Наш опрос |
|
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
|
 |  |  |
| Главная » 2010 » Март » 1 » Trojan-Downloader.Win32.FraudLoad.wwie
08:33 Trojan-Downloader.Win32.FraudLoad.wwie |
Trojan-Downloader.Win32.FraudLoad.wwie
Технические детали
Троянская
программа, загружающая файлы из сети Интернет без ведома пользователя и
запускающая их. Является приложением Windows (PE-EXE файл). Имеет
размер 16896 байт. Упакована неизвестным упаковщиком. Распакованный
размер – около 47 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для идентификации своего присутствия в системе создает ключи системного реестра:
[HKCU\Software\Mozilla]
"affid" = "224"
"subid" = "new"
- Загружает из сети Интернет файлы по следующим ссылкам:
http://qu***ebgo.cn/setup/ad_64.exe (На момент создания
описания загружался файл размером 671744 байта; детектируется
Антивирусом Касперского как "Trojan.Win32.Tdss.avsj")
http://bor***p.cn/setup/ad_64.exe (На момент создания описания ссылка не работала)
http://qui***bgo.cn/setup/setup.exe (На момент создания
описания загружался файл размером 716800 байт; детектируется
Антивирусом Касперского как "Trojan.Win32.Tdss.avdp")
http://bo****top.cn/setup/setup.exe (На момент создания описания ссылка не работала)
Загруженные файлы сохраняются во временном каталоге пользователя как
%Temp%\H8SRT<rnd>.tmp
где <rnd> – случайная последовательность цифр и латинских букв.
После успешной загрузки файлы запускаются на выполнение.
- Перемещает свой оригинальный файл во временный каталог пользователя, сохраняя его под следующим именем:
%Temp%\H8SRT<rnd>.tmp
После этого троянец завершает свою работу.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Mozilla]
"affid" = "224"
"subid" = "new"
- Удалить файлы:
%Temp%\H8SRT.tmp
- Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
|
Категория: Новости от Касперского |
Просмотров: 588 |
Добавил: Admin
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 |  |  |
|
| Поиск |
|
|
| Форма входа |
|
|
| Календарь |
| « Март 2010 » |
| Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | | 8 | 9 | 10 | 11 | 12 | 13 | 14 | | 15 | 16 | 17 | 18 | 19 | 20 | 21 | | 22 | 23 | 24 | 25 | 26 | 27 | 28 | | 29 | 30 | 31 | |
|
| Архив записей |
|
|
 
|
