Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Notifier
Предназначены для передачи своему «хозяину» сообщения о том, что зараженный компьютер сейчас находится «на связи». При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к web-странице злоумышленника, ICQ-сообщением. Такие троянские программы используются в многокомпонентных троянских наборах для извещения злоумышленника об успешной инсталляции вредоносных программ в атакуемой системе.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Removal instructions
- В диспетчере задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующий файл:
%Windir%<оригинальное имя троянца>
- Удалить из системного реестра следующую запись:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"="%Windir%<оригинальное имя троянца>" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Technical Details
Троянская программа, предназначенная для извещения злоумышленника об успешной инсталляции троянской компоненты в атакуемую систему.
Является приложением Windows (PE EXE-файл). Написана на ассемблере. Размер зараженных файлов незначительно варьируется в пределах от 1600 байт до 4096 байт.
Payload
После запуска троянская программа копирует себя в корневой каталог Windows со своим оригинальным именем:
После чего регистрирует себя в следующем ключе системного реестра:
"load"="%Windir%оригинальное имя троянца>"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Троянец ожидает соединения с интернетом, проверяя его наличие каждые 5 секунд.
При наличии соединения троянец открывает URL специального вида:
Открытие данного URL приводит к тому, что конкретному пользователю ICQ приходит сообщение с IP-адресом, именем компьютера и именем пользователя с заражённого компьютера. При переподключении к интернету данное сообщение отправляется заново.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com