| Меню сайта |
|
 |
| Категории новостей |
|
|
| Гороскопы |
|
|
| Мини-чат |
|
|
|
| Наш опрос |
|
|
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
|
 |  |  |
| Главная » 2010 » Март » 1 » Trojan-Dropper.Win32.Grizl.cw
08:39 Trojan-Dropper.Win32.Grizl.cw |
Trojan-Dropper.Win32.Grizl.cw
Технические детали
Троянская
программа, устанавливающая другие программы на компьютере пользователя
без его ведома. Является приложением Windows (PE-EXE файл). Имеет
размер 15520 байт. Упакована UPX. Распакованный размер – около 37 КБ.
Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- Создает уникальный идентификатор с именем:
12A8-B0CF
- выгружает из системной памяти следующие процессы:
ElementClient.exe
safeboxTray.exe
360Tray.exe
360safe.exe
- извлекает из своего тела файл, который сохраняется в системе как
%System%\ar<rnd>dll.dll (895488 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Lmir.jox")
где <rnd> – случайная восьмизначная последовательность символов.
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
- Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
[HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
\InprocServer32]
"Default" = "%System%\ar<rnd>dll.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{5A041F13-A111-12A8-B0CF-F99818AA68A5}
" = "ar<rnd>dll.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
"Default" = "ar<rnd>dll.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
"81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Windows]
"AppInit_DLLs" = "...,ar<rnd>dll.dll"
Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство всех запускаемых в системе процессов.
- Копирует свое тело в следующий файл:
%System%\ar<rnd>exe.gho
- Удаляет файл:
%System%\verclsid.exe
Далее троянец создает в каталоге "%Temp%" файл командного
интерпретатора, запускает его и завершает свою работу — данный файл
удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить ключи системного реестра (как работать с реестром?):
[HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
\InprocServer32]
"Default" = "%System%\ar<rnd>dll.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{5A041F13-A111-12A8-B0CF-F99818AA68A5}
" = "ar<rnd>dll.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
"Default" = "ar<rnd>dll.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
"81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
- Удалить подстроку "ar<rnd>dll.dll" из значения ключа системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\
CurrentVersion\Windows]
"AppInit_DLLs"
- Перезагрузить компьютер.
- Удалить файлы:
%System%\ar<rnd>dll.dll
%System%\ar<rnd>exe.gho
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
|
Категория: Новости от Касперского |
Просмотров: 604 |
Добавил: Admin
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 |  |  |
|
| Поиск |
|
|
| Форма входа |
|
|
| Календарь |
| « Март 2010 » |
| Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | | 8 | 9 | 10 | 11 | 12 | 13 | 14 | | 15 | 16 | 17 | 18 | 19 | 20 | 21 | | 22 | 23 | 24 | 25 | 26 | 27 | 28 | | 29 | 30 | 31 | |
|
| Архив записей |
|
|
 
|
