Класс
Trojan-Downloader
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Downloader

Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на Borland C++. Состоит из нескольких компонентов:

  • CLIENT.EXE — 57344 байт
  • SERVER.EXE — 65024 байт
  • X.EXE — 4096 байт

Payload

Троянская программа (X.EXE) устанавливает ТСP-соединение с узлом 116.116.199.216:62324 (216.216.216.216:55512). Если соединение не было установлено в течении 30 секунд, троянец завершает свой процесс. В противном случае вредонос создает в текущей директории файл с именем anyfile.exe, записывает в него загруженные данные, после чего запускает созданный файл на исполнение. При этом сам загрузчик завершает свою работу.

Для загрузки использует ZFTP-сервер, работающий через порт 12345. При запуске клиента (СLIENT.EXE) посылается широковещательный запрос, проверяющий порт 12345. Если в качестве параметров командной строки клиента указан адрес компьютера, где установлен сервер (SERVER.EXE), то с ним устанавливается соединение на указанный порт. После чего происходит загрузка файлов с сервера.

Removal instructions

  1. При помощи «Диспетчера задач» завершить троянские процессы.
  2. Удалить оригинальные файлы троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.