Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Downloader
Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Написана на Borland C++. Состоит из нескольких компонентов:
- CLIENT.EXE — 57344 байт
- SERVER.EXE — 65024 байт
- X.EXE — 4096 байт
Payload
Троянская программа (X.EXE) устанавливает ТСP-соединение с узлом 116.116.199.216:62324 (216.216.216.216:55512). Если соединение не было установлено в течении 30 секунд, троянец завершает свой процесс. В противном случае вредонос создает в текущей директории файл с именем anyfile.exe, записывает в него загруженные данные, после чего запускает созданный файл на исполнение. При этом сам загрузчик завершает свою работу.
Для загрузки использует ZFTP-сервер, работающий через порт 12345. При запуске клиента (СLIENT.EXE) посылается широковещательный запрос, проверяющий порт 12345. Если в качестве параметров командной строки клиента указан адрес компьютера, где установлен сервер (SERVER.EXE), то с ним устанавливается соединение на указанный порт. После чего происходит загрузка файлов с сервера.
Removal instructions
- При помощи «Диспетчера задач» завершить троянские процессы.
- Удалить оригинальные файлы троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com