av-school in Russia →   
Logowanie
Nazwa:
Hasło:
Statystyki
Ilość postów: 5875
Użytkowników: 3204
Gości: 9

Ostatnio dołączył:
betelnvt

Najwięcej postów:
grzybek110

Online:
brak zalogowanych użytkowników
Encyklopedia wirusów - opisy szkodliwych programów
Konie trojańskie Trojan-Downloader.VBS.Small.fp
Trojan ten uruchamia inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zaatakowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać strony HTML o rozmiarze 7526 bajtów.

Funkcje szkodnika

Po uruchomieniu trojan deszyfruje i wstrzykuje swój kod do pamięci procesów posiadających następujące muteksy w rejestrze systemowym:

{BD96C556-65A3-11D0-983A-00C04FC29E36}
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}
{0006F033-0000-0000-C000-000000000046}
{0006F03A-0000-0000-C000-000000000046}
{6e32070a-766d-4ee6-879c-c1fa91d2fc3}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}
{06723E09-F4C2-43c8-8358-09FCD1DB0766}
{639F725F-1B2D-4831-A9FD-874847682010}
{BA018599-1DB3-44f9-83B4-461454C84BF8}
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}
{E8CCCDDF-CA28-496b-B050-6C07C962476B}

Trojan wykorzystuje następnie lukę w zabezpieczeniach ActiveX XMLHTTP albo komponentu MSXML2.ServerXMLHTTP w celu pobrania pliku z poniższego adresu URL:

http://777.***23.cn/cc/999.exe

Rozmiar tego pliku wynosi 106484 bajtów. Wykrywany jest przez program Kaspersky Anti-Virus jako Trojan-Spy.Win32.Pophot.zp.

Szkodnik wykorzystuje lukę w zabezpieczeniach komponentu "ADODB.Stream" ActiveX w celu zapisania pliku do foldera tymczasowego systemu Windows bieżącego użytkownika jako "999.exe":

%Temp%999.exe

Następnie trojan tworzy plik o nazwie "999.vbs" w tym samym folderze:

%Temp%999.vbs

Trojan zapisuje do tego pliku kod w celu uruchomienia "%Temp%999.exe".

"%Temp%999.vbs" zostanie następnie uruchomiony w celu wykonania.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  2. Usuń następujące pliki:
    %Temp%999.exe
    %Temp%999.vbs
    
  3. Usuń zawartość %Temporary Internet Files%.
  4. Wyłącz obiekt ActiveX
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).


TEKST +   TEKST -  
Patronat
Partnerzy
Wydarzenia
Ostatnio
Rozstrzygnięcie wakacyjnego konkursu graficznego
Dzisiaj
Brak
Najbliższe
Brak
Statystyki zagrożeń
TOP 10 złośliwych
programów tygodnia

1. Kido.ir Worm
2. Sality.aa Virus
3. Kido.ih Worm
4. Kido.iq Worm
5. Agent.bhr Trojan
6. Agent.bab Exploit
7. FlyStudio.cu Worm
8. Virust.ce Virus
9. CVE-2010-2568.d Exploit
10. VB.eql Trojan

Żródło: KSN
Imieniny
Czy wiesz, że...
Wirusy polimorficzne - Wirusy polimorficzne próbują unikać wykrycia zmieniając własny kod wraz z każdą infekcją. Programy antywirusowe nie mogą więc poszukiwać stałej sekwencji bajtów. Niektóre wirusy polimorf...
Z galerii...
Wizytówki drużyn - jesień 2009

Polecamy artykuł
%^ef$g73$5r(@&#!! - Kilka słów o szyfrowaniu i algorytmach
     Główna            Kontakt           O projekcie
Copyright © 2010 Kaspersky Lab