giovedì 19 agosto 2010

Trojan-Downloader.Agent







Riconosciuto 25 Dic, 2008 00:20 GMT
Data di pubblicazione 25 Dic, 2008 04:37 GMT
Edizione 12 Mar 2009 15:29 GMT

Dettagli tecnici
Carico utile
Istruzioni per la rimozione

Dettagli tecnici

Questo programma maligno è un Trojan. Si tratta di un file EXE di Windows PE. La dimension del file è di 417.792 byte. È compresso con UPX. Il file decompresso è di circa 439KB di dimensione. È scritto in C + +.

Installazione
Una volta lanciato, vengono avviate le copie del Trojan nella directory corrente di avvio di Windows:

Documents% e% \ Impostazioni \ Main Menu \ Programs \ Esecuzione automatica \ uninstall.exe

Carico utile

Una volta che la macchina della vittima è stato riavviata, il Trojan estrae un file da se stesso. Il file sarà uno dei nomi riportati di seguito:

Documents% e% \ Impostazioni \ Application Data \ svchosts.exe
Documents% e% \ Impostazioni \ Application Data \ taskmon.exe
Documents% e% \ Impostazioni \ Application Data \ rundll.exe
Documents% e% \ Impostazioni \ Application Data \ service.exe
Documents% e% \ Impostazioni \ Application Data \ sound.exe
Documents% e% \ Impostazioni \ Application Data \ upnpsvc.exe
Documents% e% \ Impostazioni \ Application Data \ lsas.exe
Documents% e% \ Impostazioni \ Application Data \ logon.exe
Documents% e% \ Impostazioni \ Application Data \ helper.exe
Documents% e% \ Impostazioni \ Application Data \ event.exe
Documents% e% \ Impostazioni \ Application Data \ dumpreport.exe
Documents% e% \ Impostazioni \ Application Data \ msiexeca.exe
Questo file è grande 404.992 byte. Esso sarà rilevato da Kaspersky Anti-Virus come Trojan-Downloader.Win32.Agent.aoth.

Al fine di garantire che il Trojan vienga lanciato automaticamente ogni volta che il sistema viene riavviato, il Trojan inserisce un link al file, estrattio dal suo corpo nel Registro di sistema:

[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"" = ""
è un nome scelto dalla lista qui sotto:
Crashdump EventLog Init LSASS Regscan Rundll installazione Sound System svchosts Taskmon UPNP Windows
è il percorso del file estratti dal Trojan indicato nella lista di cui sopra.

Una volta che il Trojan aveva espresso il suo carico utile, eliminerà sia il suo corpo e la sua copia "Documenti% e% \ Impostazioni\ Main Menu \ Programs \ Esecuzione automatica \ uninstall.exe ".

Questo Trojan non funziona sulle versioni russe di Windows.

Istruzioni per la rimozione

Se il computer non dispone di un antivirus aggiornato, o non dispone di una soluzione antivirus, seguire le istruzioni riportate di seguito per eliminare il programma dannoso:

Utilizzare Task Manager per terminare il processo del Trojan


Eliminare il seguente Registro di sistemachiave:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"" = ""
Eliminare il file Trojan originale (la posizione dipenderà da come il programma inizialmente è penetrato nella macchina della vittima).


Eliminare i seguenti file:
Documents% e% \ Impostazioni \ Application Data \ svchosts.exe
Documents% e% \ Impostazioni \ Application Data \ taskmon.exe
Documents% e% \ Impostazioni \ Application Data \ rundll.exe
Documents% e% \ Impostazioni \ Application Data \ service.exe
Documents% e% \ Impostazioni \ Application Data \ sound.exe
Documents% e% \ Impostazioni \ Application Data \ upnpsvc.exe
Documents% e% \ Impostazioni \ Application Data \ lsas.exe
Documents% e% \ Impostazioni \ Application Data \ logon.exe
Documents% e% \ Impostazioni \ Application Data \ helper.exe
Documents% e% \ Impostazioni \ Application Data \ event.exe
Documents% e% \ Impostazioni \ Application Data \ dumpreport.exe
Documents% e% \ Impostazioni \ Application Data \ msiexeca.exe


Eliminare tutti i file da % Temporary Internet Files%.
Aggiornare il database antivirus ed eseguire una scansione completa del computer.



Fonte: http://www.securelist.com/

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...