| Меню сайта |
|
 |
| Категории новостей |
|
|
| Гороскопы |
|
|
| Мини-чат |
|
|
|
| Наш опрос |
|
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
|
 |  |  |
| Главная » 2010 » Январь » 27 » Trojan-Downloader.Win32.Tiny.ia
10:59 Trojan-Downloader.Win32.Tiny.ia |
Trojan-Downloader.Win32.Tiny.ia
Технические детали
Троянская
программа, открывающая Интернет страницы в браузере без ведома
пользователя. Является приложением Windows (PE-EXE файл). Имеет размер
3213 байт. Упакована FSG. Распакованный размер – около 29 КБ. Написана
на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%\msscmc36.exe
После этого троянец завершает свою работу.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Control" = "%System%\msscmc36.exe"
Это приводит к автоматическому запуску копии троянца при каждом следующем старте системы.
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List]
"23203:TCP" = "23203:TCP:*:Enabled:BND"
Таким образом, порт 23203 записывается в список исключений брандмауэра Windows.
- Запускает процесс
%Program Files%\Internet Explorer\iexplore.exe
и внедряет в его адресное пространство код, выполняющий в бесконечном цикле обращение по следующей ссылке:
http://www.google.com?action=log&loc=&user=<Имя пользователя>&cn=<Системная локаль>&port=23203
После этого троянец завершает свою работу.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- При помощи Диспетчера задач завершить процесс "iexplore.exe".
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Visual Control" = "%System%\msscmc36.exe"
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List]
"23203:TCP" = "23203:TCP:*:Enabled:BND"
- Удалить оригинальный файл троянца (его расположение на
зараженном компьютере зависит от способа, которым программа попала на
компьютер).
- Удалить файл:
%System%\msscmc36.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
|
Категория: Новости от Касперского |
Просмотров: 542 |
Добавил: Admin
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 |  |  |
|
| Поиск |
|
|
| Форма входа |
|
|
| Календарь |
|
|
| Архив записей |
|
|
 
|
