Вирусы
02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

 
 
Рамблер

 
Яндекс.Погода
 
   Партнеры:
к списку всех партнеров
 
16 апреля 2008 | Trojan-Downloader.Win32.Small.bah

Другие названия

Trojan-Downloader.Win32.Small.bah («Лаборатория Касперского») также известен как: ProcKill-CT (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Qqrobber.16 (Doctor Web), TROJ_QQROB.R (Trend Micro), TR/Gamect.A (H+BEDV), Trojan.Downloader.Agent.PD (SOFTWIN), Trojan.Downloader.Small-582 (ClamAV), Trj/QQRob.Z (Panda), Win32/TrojanDownloader.Agent.PD (Eset)

Поведение

Trojan-Downloader, троянский загрузчик.

Технические детали

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер около 27 КБ.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows:

%System%/NTdhcp.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"NTdhcp" = "%System%/NTdhcp.exe"

После процесса инсталляции троян удаляет свой оригинальный исполняемый файл.

Деструктивная активность

Троянец отключает антивирусную защиту компьютера:

  • Отключает службы со следующими именами:
  • RsRavMon
    RsCCenter
    Kavsvc
    KVSrvXP
    Wscsvc
    KPfwSvc
    KwatchSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    Navapsvc
    NPFMntor
    MskService
    FireSvc
    McShield
    McTaskManager
    McAfeeFramework

  • Из ключа реестра:
  • [HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

  • удаляет параметры со следующими именами:
  • KAVPersonal50
    RavMon
    RavTimer
    KvMonXP
    iDuba Personal FireWall
    KAVRun
    KpopMon
    Kulansyn
    KavPFW
    ccApp
    SSC_UserPrompt
    NAV CfgWiz
    MCAgentExe
    McRegWiz
    MCUpdateExe
    MSKAGENTEXE
    MSKDetectorExe
    VirusScan Online
    VSOCheckTask
    McAfeeUpdaterUI
    ShStatEXE
    VSOCheckTask
    KavStart
    Services
    KWatch9x
    Csoftok
    explor.exe
    windos

  • Завершает следующие процессы:
  • FireTray.exe
    UpdaterUI.exe
    TBMon.exe
    SHSTAT.EXE
    RAV.EXE
    RAVMON.EXE
    RAVTIMER.EXE
    KVXP.KXP
    KVCENTER.KXP
    Iparmor.exe
    MAILMON.EXE
    KAVPFW.EXE
    KmailMon.EXE
    KAVStart.exe
    KATMain.EXE
    TrojanDetector.EXE
    KVFW.EXE
    KVMonXP.KXP
    KAVPLUS.EXE
    KWATCHUI.EXE
    KPOPMON.EXE
    KAV32.EXE
    CCAPP.EXE
    MCAGENT.EXE
    MCVSESCN.EXE
    MSKAGENT.EXE
    EGHOST.EXE
    KRegEx.exe
    TrojDie.kxp
    KVOL.exe
    kvolself.exe
    KWatch9x.exe
    SOFTOK.EXE
    explor.exe
    windox.exe

Троянец похишает пароли на учетные записи к программе QQMessenger. Для этого он сканирует систему в поисках окон этой программы и ищет среди них диалоги авторизации, если находит, извлекает текст введенный в полях ввода и сохраняет его в файл отчета:

%WinDir%/Media/chord.waz

Отчет периодически отправляется на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить параметр в ключе системного реестра:
  3. [HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
    "NTdhcp" = "%System%/NTdhcp.exe"

  4. Удалить файлы:
  5. %System%/NTdhcp.exe
    %WinDir%/Media/chord.waz

  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

   Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

 

 

     
Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты
Rambler's Top100 Яндекс цитирования Каталог HeadNet.Ru Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости Catalyse.ru Рейтинг@Mail.ru