Класс
Trojan-Notifier
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Notifier

Предназначены для передачи своему «хозяину» сообщения о том, что зараженный компьютер сейчас находится «на связи». При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к web-странице злоумышленника, ICQ-сообщением. Такие троянские программы используются в многокомпонентных троянских наборах для извещения злоумышленника об успешной инсталляции вредоносных программ в атакуемой системе.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Removal instructions

  1. В диспетчере задач завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить следующий файл:
    %Windir%<оригинальное имя троянца>
  4. Удалить из системного реестра следующую запись:
    [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
     "load"="%Windir%<оригинальное имя троянца>"
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Technical Details

Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.

Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.

Payload

После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:

%Windir%<оригинальное имя троянца>

После чего регистрирует себя в следующем ключе системного реестра:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
 "load"="%Windir%оригинальное имя троянца>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.

При наличии соединения троянец открывает URL специального вида:

http://web.icq.com/whitepages/p***_me/.....

Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.