Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-Proxy.Win32.Agent.qm

Trojan ten umożliwia zdalnemu szkodliwemu użytkownikowi wykorzystanie zaatakowanej maszyny jako serwer proxy bez wiedzy użytkownika. Ma postać pliku pomocy Windows o rozmiarze 29548 bajtów.

Instalacja

Podczas otwierania zainfekowanego pliku użytkownikowi ukazuje się następujące okno:

W tym samym czasie plik o nazwie "notepad.exe" i rozmiarze 41984 bajtów jest wypakowywany do następującego foldera, a następnie uruchamiany w celu wykonania:

%Documents and Settings%UserLocal SettingsTemporary Internet FilesContent.IE5

Podczas uruchamiania plik ten wypakowuje ze swojego ciała plik .dll o rozmiarze 28672:

%System%miprip.dll 

Następnie trojan rejestruje usługę systemową o nazwie "iprip", która automatycznie ładuje wypakowany plik .dll wraz z każdym startem systemu Windows na zaatakowanej maszynie. Ponadto tworzony jest następujący klucz rejestru:

[HKLMSYSTEMCurrentControlSetServicesIprip]

Funkcje szkodnika

Trojan uruchamia serwer proxy HTTP na porcie TCP numer 80 na lokalnej maszynie. W tym celu modyfikuje konfigurację przeglądarki Internet Explorer, tak aby zezwolić na wykorzystywanie serwera proxy. Adres lokalnej maszyny jest podany jako adres serwera proxy.

Gdy na zaatakowanej maszynie otwierany jest dowolny adres URL, trojan przekierowuje żądanie do strony zdalnego szkodliwego użytkownika. Pozwala to zdalnemu szkodliwemu użytkownikowi na przechwytywanie i analizowanie ruchu internetowego użytkownika.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesIprip]

  4. Usuń następujące pliki:
    %System%miprip.dll
    %Documents and Settings%	estLocal SettingsTemporary Internet 
    FilesContent.IE5
    otepad.exe#
    
  5. Usuń zawartość %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).