Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan.Win32.Agent.azsy

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 417792 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 439KB). Pogram powstał w języku programowania C++.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do foldera startowego systemu Windows:

%Documents and Settings%Main MenuProgramsStartupuninstall.exe

Funkcje szkodnika

Po powtórnym uruchomieniu zaatakowanej maszyny trojan wypakowuje ze swojego ciała plik. Plik będzie miał jedną z poniższych nazw:

%Documents and Settings%Application Datasvchosts.exe
%Documents and Settings%Application Data	askmon.exe
%Documents and Settings%Application Data
undll.exe
%Documents and Settings%Application Dataservice.exe
%Documents and Settings%Application Datasound.exe
%Documents and Settings%Application Dataupnpsvc.exe
%Documents and Settings%Application Datalsas.exe
%Documents and Settings%Application Datalogon.exe
%Documents and Settings%Application Datahelper.exe
%Documents and Settings%Application Dataevent.exe
%Documents and Settings%Application Datadumpreport.exe
%Documents and Settings%Application Datamsiexeca.exe

Rozmiar pliku wynosi 404992 bajtów. Jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.Agent.aoth.

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym restartem systemu operacyjnego, trojan umieszcza odsyłacz do rozpakowanego przez siebie pliku w rejestrze systemowym:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"<rnd1>" = "<rnd2>"

<rnd1> jest nazwą wybieraną z poniższej listy:

CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

<rnd> jest ścieżką do pliku wypakowanego z trojana znajdującego się na liście wyżej.

Po tym, jak trojan dostarczy swoją szkodliwą funkcję, usunie zarówno swoje ciało jak i swoją kopię "%Documents and Settings%\Main MenuProgramsStartupuninstall.exe".

Trojan ten nie będzie działał w rosyjskich wersjach systemu Windows.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

    "<rnd1>" = "<rnd2>"

  3. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  4. Usuń następujące pliki:
    %Documents and Settings%Application Datasvchosts.exe
    %Documents and Settings%Application Data	askmon.exe
    %Documents and Settings%Application Data
    undll.exe
    %Documents and Settings%Application Dataservice.exe
    %Documents and Settings%Application Datasound.exe
    %Documents and Settings%Application Dataupnpsvc.exe
    %Documents and Settings%Application Datalsas.exe
    %Documents and Settings%Application Datalogon.exe
    %Documents and Settings%Application Datahelper.exe
    %Documents and Settings%Application Dataevent.exe
    %Documents and Settings%Application Datadumpreport.exe
    %Documents and Settings%Application Datamsiexeca.exe
    
  5. Usuń wszystkie pliki z %Temporary Internet Files%.
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).