Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-Downloader.Win32.VB

Detekováno 04/13/2010
Třída Trojan-Downloader
Platfoma Win32
Popis

Trojan zajišťuje, že skryté soubory nelze zobrazit Explorer.exe úpravou následujících parametrů klíče registru systému:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"Skryté" = "0"

"ShowSuperHidden" = "0"

Trojan také zajišťuje, že rozšíření souborů Explorer.exe nemůže zobrazit nastavením následujících parametrů klíčů registru systému:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"HideFileExt" = "1"

Chcete-li zabránit tomu, aby se tyto parametry vrátily, vypíše Trojský program "Možnosti složky" v aplikaci Explorer.exe nastavením následujícího parametru klíče registru systému:

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]

"NoFolderOptions" = "1"

Trojan pak vytvoří skrytou složku s názvem "psador18.dll" v adresáři systému Windows:

% System% ðsàdîr18.dll

Soubor obsahuje následující e-mailové adresy:

ot01_***@mail.ru
ot02_***@mail.ru

Trojský jazyk také získává z těla rootkit nazvaný "psagor18.sys". Tento soubor bude umístěn v pracovním adresáři Trojana. Tento rootkit obsahuje funkce, které skryjí přítomnost souborů "psador18.dll" a "AHTOMSYS19.exe". Také dává trojan nejvyšší systémové oprávnění, což znemožňuje vymazání souboru trojského koně nebo ukončení procesů trojských koní.

Po vypnutí systému bude tento soubor smazán, ale bude znovu vytvořen, když bude systém restartován.

Trojan sleduje vzhled oken s následujícími tituly:

NOD32 2.5 Control Center

Сканер NOD32 по требованию – [Profil ústředny – Lokální]

Сканер NOD32 по требованию – [Profil kontextové menu]

NOD32 – Upozornění

Ппедуппеждeниe

Редактор конфиг
uráции NOD32 – [Bez názvu]

Антивирус Касперского Osobní

0- používají kontrolu …

Карантин

Настройка обновления

Настройка карантина и резервни хранилища

Vybrat soubor pro odpověď na dotaz

AVP.MessageDialog

AVP.MainWindow

AVP.Product_Notification

AVP.SettingsWindow

AVP.ReportWindow

Agnitum Outpost Firewall – konfigurace.cfg

Настройка системы

Редактор реестра

RegEdit_RegEdit

Pokud trojan zjistí taková okna, budou automaticky zavřena.

Trojan také hledá flash zařízení. Pokud detekuje takové zařízení, Trojan zkopíruje své tělo jako "CDburn.exe" a vytvoří soubor s názvem "autorun.inf", který obsahuje odkaz na tělo trojského koně. Tím je zajištěno, že soubor Trojan bude automaticky spuštěn při každém připojení zařízení.

Trojský server také shromažďuje e-mailové adresy od poškozeného stroje a pošle jim e-mailovou zprávu. E-mail má prázdný řádek předmětu a následující obsah:

Я незнаю ее там помоем небыло (((… vот, посмотри http://softclub.land.ru/seeing/katie.rar

Odkaz na originál