На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.Agent.fc


Rootkit:  Нет

Trojan.Win32.Agent.fc состоит из двух компонент: jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта.

Экспортирует две функции - Hook и UnHook. Устанавливает перехватчики стандартным образом (типа 5 - WH_CBT), что позволяет следить за созданием/перемещением/разрушением окон, системными событиями и т.п. Реагирует на окна с классом "ieframe", регистрирует в динамике BHO {FB153DCE-822E-47ec-8D00-2706E7864B37}

KB290333.dll, размер 31232 байта, сжата UPX, распакованный размер 81920 байт. Регистрирует класс в реестре с CLSID {FB153DCE-822E-47ec-8D00-2706E7864B37} (легко заметить - класс, но но BHO !! А как BHO его регистрирует jaaste.dll, в момент создания окна IE - а затем запись BHO убивается, что маскирует "зверя" от анализаторов типа HijackThis - эдакай Stels-BHO).

Файл jaaste.dll хранится внутри файла KB290333.dll - в его хвосте. Антивирусы его детектируют как так-же как "Trojan.Win32.Agent.fc" Написан "зверь" на C с применением MFC/ В ходе регистрации класса его CLSID записывается в ключ Explorer\SharedTaskScheduler

Лечение
Детектирование обоих файлов занесено в базы AVZ. В случае ручного удаления файлов необходимо применить отложенное удаление AVZ и эвристическую чистку системы (она автоматически удалит следы в реестре)

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.