Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Trojan-Dropper.Win32.Small.cfs

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304

    Trojan-Dropper.Win32.Small.cfs

    Технические детали

    Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 2816 байт. Упакована FSG. Распакованный размер – около 16 КБ. Написана на C++.

    Инсталляция

    После запуска троянец выполняет следующие действия:
    • если на зараженном компьютере установлена операционная система Windows 9x, скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".
    • Копирует свое тело в файлы:

      %System%/wservice.exe
      %System%/lservice.exe
      %System%/ffservice.exe

    • Для созданных файлов устанавливаются атрибуты "скрытый" (hidden), "системный" (system).
    • Для автоматического запуска созданных копий при каждой следующей загрузке системы создает ключи системного реестра:

      [HKLM/Software/Microsoft/Active Setup/Installed Components/{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}]
      "StubPath" = "%System%/lservice.exe"

      [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
      "Windows Reg Services" = "%System%/ffservice.exe"

      [HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
      "Windows Reg Services" = "%System%/ffservice.exe"

      [HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
      "Windows Reg Services" = "%System%ffservice.exe"
    • Запускает на выполнение копию "wservice.exe" с параметром "-s", после чего завершает свою работу.

    Деструктивная активность



    Будучи запущенным с параметром "-s", троянец в цикле осуществляет попытку загрузки файла по следующей ссылке:

    .u***.com/server.exe

    Загруженный файл сохраняется в системе как

    %System%/d_service.exe

    и после успешной загрузки запускается на выполнение. Выход из цикла производится лишь в случае успешной загрузки и запуска файла.

    На момент создания описания указанная ссылка не работала.

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    При помощи Диспетчера задач завершить процессы:

    • wservice.exe
    • lservice.exe
    • ffservice.exe
    • d_service.exe


    Удалить ключи системного реестра:


    [HKLM/Software/Microsoft/Active Setup/Installed Components/{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}]
    "StubPath" = "%System%/lservice.exe"

    [HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
    "Windows Reg Services" = "%System%/ffservice.exe"

    [HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
    "Windows Reg Services" = "%System%/ffservice.exe"

    [HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
    "Windows Reg Services" = "%System%/ffservice.exe"

    Удалить файлы:

    • %System%/wservice.exe
    • %System%/lservice.exe
    • %System%/ffservice.exe
    • %System%/d_service.exe
    Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

    Очистить каталог Temporary Internet Files.

    Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

    Источник: securelist.com.

  2. 3 пользователей сказали cпасибо Aibolit за это полезное сообщение:

    andrew (29.05.2011), Александр (29.05.2011), Ксения (29.05.2011)

 

 

Похожие темы

  1. Trojan-Downloader.Win32.Small.bsdo
    от x-sis в разделе Описание вирусов
    Ответов: 1
    Последнее сообщение: 03.03.2017, 03:28
  2. Trojan-Downloader.Java.Small.aa
    от x-sis в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 03.08.2011, 23:04

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •