На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.Agent.il


Rootkit:  Нет
Синонимы:  Trojan.Griven (DrWeb)

В октябре 2005 года наблюдался пик активности данной троянской программы. Данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам троян имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail <**email злоумышленника**> код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"

Лечение
Методика лечения:
1. Пролечить систему AVZ, он должен найти и удалить файл даннйо троянской программы, должно удалиться минимум 2 файла в папке Windows. Файлы можно удалить вручную:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
2. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции восстановления и нажать кнопку "Выполнить отмеченные операции"
3. Перезагрузить компьютер. Сообщение в загрузке должно пропасть, блокировки вызова настроек и прочее должно восстановиться
4. Зайти любым менеджером диска (типа FAR) на системный диск и
4.1 Изменить атрибуты папок Windows и Program Files на нормальные (у них задан атрибут "скрытый")
4.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
5. Зайти в панель управления, там - в "Язык и региональные стандарты" - и там на первой закладке переключитьс с русского скажем на румынский и назад - это приведет к восстановлению региональных настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.