Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory Trojan-Downloader.Win32.Banload.dcdTrojan ten pobiera inne pliki za pośrednictwem Internetu i uruchamia je w celu wykonania na zainfekowanej maszynie bez wiedzy czy zgody użytkownika. Ma postać pliku PE EXE o rozmiarze 113152 bajtów. Nie został w żaden sposób spakowany. Trojan ten powstał w języku programowania Visual Basic.
Po uruchomieniu trojan kopiuje swoje ciało do foldera plików programów Windows jako "lsass.exe": %Program Files%Microsoft Studio Fileslsass.exe W celu zapewnienia sobie automatycznego uruchamiania się wraz z każdym restartem systemu trojan rejestruje swój plik wykonywalny w rejestrze systemowym:
W tym samym folderze trojan tworzy następnie plik interpretatora poleceń o nazwie "vcdg.bat": %Program Files%Microsoft Studio Filesvcdg.bat Zapisuje do tego pliku następujące ciągi: netsh.exe firewall add allowedprogram PROGRAM="%Program Files%Microsoft Studio Fileslsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL W ten sposób trojan modyfikuje konfigurację zapory Windows XP, zezwalając na wszelką aktywność sieciową wygenerowaną przez szkodliwy proces. "%Program Files%Microsoft Studio Filesvcdg.bat" jest następnie uruchamiany w celu wykonania. Po instalacji trojan pobiera pliki z następujących adresów URL: http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar http://www.*****-consult.net/rcss.res http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg W momencie tworzenia tego opisu, odsyłacze te nie były aktywne. http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg Plik ten ma rozmiar 2603325 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa go jako Trojan-Spy.Win32.Banbra.bak. Pobrane pliki są zapisywane do foldera instalacyjnego trojana z losowymi nazwami i uruchamiane w celu wykonania. Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
|