На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.VB.aqt


Rootkit:  Нет
Видимые проявления:  Посторонний элемент автозагрузки
Файлы autorun.inf в корне дисков

Троянская программа, написана на Basic, похожа на Trojan.Win32.VB.atg, размер исполняемого файла  20480 байта, исполняемый файл не сжат и не зашифрован. Может распространяться на Flash дисках. Иконка трояна похожа на иконку одного из системных приложений, копирайты поддельные и похожи на копирайты системных файлов.
В случае запуска троян скриытно выполняет следующие операции:
1. Создает копии своего исполняемого файлы в папке Recycled\Recycled\ctfmon.exe и в папке автозапуска. Местоположение папки автозапуска определяется через реестр, в XP типовое местоположение файла - Documents and Settings\<имя профиля>\Главное меню\Программы\Автозагрузка\ctfmon.exe. Исполняемый файл и папка Recycled имеют атрибуты "Только чтение" и "Системный" для маскировки от проводника.
2. Создает в корне системного диска файл autorun.inf следующего вида
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)
Данный файл применяется для запуска Recycled\Recycled\ctfmon.exe. После этого троян завершает свою работу, исходный файл при этом не удаляется.
В случае запуска в результате срабатывания одной из описанных выше форм автозапуска троян выполняет шаги 1-2, но работу не завершает и продолжает в цикле пытаться выполнить шаг 2 для дисков B: - Z:. Наличие диска и его доступность троян не проверяет, прочто пытается создать на диске файлы *:\Recycled\ctfmon.exe, *:\autorun.inf, *:\Recycled\INFO2 и *:\Recycled\desktop.ini
За счет циклического копирования в корень дисков троян может заражать подключенные к компьютеру сетевые диски и Flash накопители - запуск трояна с них будет осуществляться за счет autorun.inf.
Удаление вручную
Троян не маскируется, поэтому несложно найти и удалить его, а так-же созданные им файлы autorun.inf. В качестве меры противодействия можно посоветовать отключение автозапуска для свех дисков - это не позволит системе обработать autorun.inf и скрытно запустить трояна.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.