На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.VB.aqt


Rootkit:  Нет
Видимые проявления:  Посторонний EXE файл в папке автозагрузки

Троянская программа, написана на Basic, похожа на Trojan.Win32.VB.atq, размер исполняемого файла 20480 байта, файл не сжат и не зашифрован. В случае запуска троян выполняет следующие операции:
1. Создает копию своего исполняемого файла  в папке с именем Recycled (например, при размещении системы на диске C путь имеет вид C:\Recycled\Recycled\ctfmon.exe), и в папке автозапуска (в XP полный путь к файлу будет иметь вид \Documents and Settings\<имя учетной записи>\Главное меню\Программы\Автозагрузка\ctfmon.exe). Путь к папке автозапуска определяется через реестра Explorer\Shell Folders. Оба файла имеют атрибуты "Только чтение" и "Системный". Кроме того, троян создает файлы Recycled\INFO2 и Recycled\desktop.ini
2. Создает файл в корне HDD с именем autorun.inf
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)

После выполнения данных действий троян завершает свою работу. После перезагрузки троян запускается за счет одного из описанных выше методов автозапуска и повторяет шаги 1-2. Кроме того, он остается запущенным и в цикле пытается создать файлы *:\Recycled\ctfmon.exe, *:\autorun.inf, *:\Recycled\INFO2 и *:\Recycled\desktop.ini на других дисках. На месте * перебором подставляется буква от B до Z, причем троян не проверяет, доступно ли устройство и существует ли оно в системе. За счет этого механизма троян может размножаться в локальной сети путем размещения своих копий на расшаренных дисках и поражать подключаемые к компьютеру Flash диски.

Удаление вручную:
Удаление вручную не вызывает трудностей - для этого следует остановить процессы трояна, удалить его исполняемые файлы и файл autoruni.inf из корня всех дисков. В качестве меры защиты очень полезно отключить автозапуск, в этом случае autorun.inf не сработает и первичное заражение ПК не произойдет.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.