Trojan-Downloader.Win32.Small.bah

Новости Вирусы Уязвимости Статьи Форум Партнеры Контакты

Вирусы

02 августа 2012
Trojan-Downloader.Win32.Small.bsuj

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

подробнее

02 августа 2012
Trojan-Downloader.Win32.Small.bsum

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

подробнее

27 июля 2012
Trojan-Downloader.Win32.Agent.djuz

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

подробнее

27 июля 2012
Trojan-Downloader.Java.Agent.kf

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

подробнее

25 июля 2012
Trojan-Downloader.Java.Agent.lc

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

подробнее

Партнеры:

к списку всех партнеров

16 апреля 2008 | Trojan-Downloader.Win32.Small.bah

Другие названия

Trojan-Downloader.Win32.Small.bah («Лаборатория Касперского») также известен как: ProcKill-CT (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Qqrobber.16 (Doctor Web), TROJ_QQROB.R (Trend Micro), TR/Gamect.A (H+BEDV), Trojan.Downloader.Agent.PD (SOFTWIN), Trojan.Downloader.Small-582 (ClamAV), Trj/QQRob.Z (Panda), Win32/TrojanDownloader.Agent.PD (Eset)

Поведение

Trojan-Downloader, троянский загрузчик.

Технические детали

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер около 27 КБ.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows:

%System%/NTdhcp.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"NTdhcp" = "%System%/NTdhcp.exe"

После процесса инсталляции троян удаляет свой оригинальный исполняемый файл.

Деструктивная активность

Троянец отключает антивирусную защиту компьютера:

Отключает службы со следующими именами:

RsRavMon
RsCCenter
Kavsvc
KVSrvXP
Wscsvc
KPfwSvc
KwatchSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
Navapsvc
NPFMntor
MskService
FireSvc
McShield
McTaskManager
McAfeeFramework

Из ключа реестра:

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

удаляет параметры со следующими именами:

KAVPersonal50
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
KavPFW
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
ShStatEXE
VSOCheckTask
KavStart
Services
KWatch9x
Csoftok
explor.exe
windos

Завершает следующие процессы:

FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KmailMon.EXE
KAVStart.exe
KATMain.EXE
TrojanDetector.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
KWatch9x.exe
SOFTOK.EXE
explor.exe
windox.exe

Троянец похишает пароли на учетные записи к программе QQMessenger. Для этого он сканирует систему в поисках окон этой программы и ищет среди них диалоги авторизации, если находит, извлекает текст введенный в полях ввода и сохраняет его в файл отчета:

%WinDir%/Media/chord.waz

Отчет периодически отправляется на электронную почту злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи <Диспетчера задач> завершить вредоносный процесс.

Удалить параметр в ключе системного реестра:

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"NTdhcp" = "%System%/NTdhcp.exe"

Удалить файлы:

%System%/NTdhcp.exe
%WinDir%/Media/chord.waz

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив

Новости

17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

подробнее

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

подробнее

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

подробнее

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

подробнее

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

подробнее

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

подробнее

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

подробнее

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

подробнее

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

подробнее

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

подробнее

Новости | Вирусы | Уязвимости | Статьи | Партнеры | Форум | Контакты