av-school in Russia →   
Podręcznik Forum Wiki Pomoc Kanały RSS
Nawigacja
Nowości
Encyklopedia wirusów
Artykuły
Download
Galeria
Forum
Kontakt
Linki
O projekcie
Pomoc
Podręcznik
Komputerowy Biathlon
Logowanie
Nazwa:
Hasło:
Statystyki
Ilość postów: 6333
Użytkowników: 10824
Gości: 19

Ostatnio dołączył:
harryhbhernandez

Najwięcej postów:
kristoff

Online:
brak zalogowanych użytkowników
Encyklopedia wirusów - opisy szkodliwych programów
Konie trojańskie Trojan-Downloader.Win32.Agent.mee
Szkodnik ten jest trojanem. Ma postać pliku PE EXE. Rozmiar zainfekowanych plików może wahać się od 70KB do 260KB. Nie został w żaden sposób spakowany. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe": 

%System%inetsrvlsass.exe

Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load" = "%System%inetsrvlsass.exe"

Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.

Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.

Tworzy również następujący klucz rejestru:

[HKLMSoftwareMicrosoftInternet Explorerinet.]
"Day" = "(data uruchomienia trojana)"

Funkcje szkodnika

Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej: 

:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe

(x) określa dysk.

Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku: 

(X):autorun.inf

Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.

Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKLMSoftwareMicrosoftInternet Explorerinet.]
    "Day" = "(data uruchomienia trojana)"

  3. Usuń następującą wartość parametru klucza rejestru:

    [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "load" = "%System%inetsrvlsass.exe"

  4. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  5. Usuń następujące pliki: 
    %System%inetsrvlsass.exe
:MSOCache90000804-6000-11D3-8CFE-0150048383C9lsass.exe
:autorun.inf
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
Trojan-Downloader.Win32.Agent.mee (Kaspersky Lab),


TEKST +   TEKST -  
Patronat
Partnerzy
Wydarzenia
Ostatnio
Electronic Games Party 2012
Dzisiaj
Brak
Najbliższe
Brak
Statystyki zagrożeń
TOP 10 złośliwych
programów tygodnia

1. Malicious URL
2. Script.Iframer Troj
3. Win32.Generic Troj
4. Script.Generic Troj
5. Script.Generic Exp
6. Shopper.il AdW
7. Script.Generic TrD
8. Eorezo.heur AdW
9. Popupper.aw Troj
10. Shopper.jq AdW

Żródło: KSN
Imieniny
Czy wiesz, że...
Rozruch - Proces uruchamiania komputera PC, podczas którego ładowany jest BIOS, a następnie system operacyjny. ...
Z galerii...
EGP - Turniej gier komputerowych
Polecamy artykuł
Bezpieczeństwo sieci WiFi w Polsce 2009: Podsumowanie
     Główna            Kontakt           O projekcie
Copyright © 2012 Kaspersky Lab