Trojan.Win32.Agentb
Вредоносные программы этого семейства уничтожают, блокируют, изменяют или копируют данные, а также нарушают работу компьютеров или компьютерных сетей.
TOP 10 стран по количеству атакованных пользователей (%)
| Страна | % атакованных пользователей* | |
| 1 | Российская Федерация | 17,10 |
| 2 | Алжир | 9,78 |
| 3 | Индия | 5,34 |
| 4 | Вьетнам | 3,30 |
| 5 | Индонезия | 3,19 |
| 6 | Буркина-Фасо | 2,68 |
| 7 | Кот-д’Ивуар | 2,53 |
| 8 | Япония | 2,36 |
| 9 | Руанда | 2,16 |
| 10 | Турция | 1,89 |
*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом
В оперативной памяти сидит модифицированный Win32/Agent.UPF троянская программа. [Trojan.Win32.ShipUp.iwy, HEUR:Trojan.Win32.Generic ] (заявка № 138963)
Junior Member Регистрация 16.05.2013 Сообщений 3 Вес репутации 40
В оперативной памяти сидит модифицированный Win32/Agent.UPF троянская программа. [Trojan.Win32.ShipUp.iwy, HEUR:Trojan.Win32.Generic ]
Антивирус пишет, что для завершения полного удаления требуется перезагрузка, перезагрузишь-опять тоже самое. Имя объекта,где он сидит: C/Documents and Settings/All Users/Application Data/Mozilla/kllmrec.dll
Помогите плиз.
Вложения
- virusinfo_syscure.zip (24.2 Кб, 2 просмотров)
- virusinfo_syscheck.zip (29.4 Кб, 1 просмотров)
- hijackthis.log (10.5 Кб, 2 просмотров)
Будь в курсе! Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
17.05.2013, 11:06 #2
Cyber 
Регистрация 11.05.2011 Сообщений 2,285 Вес репутации 376
Уважаемый(ая) styagovec, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность — пожалуйста поддержите проект.
17.05.2013, 11:20 #3
Moderator Регистрация 03.10.2009 Адрес Москва Сообщений 9,009 Вес репутации 488
Пофиксите в HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - - (no file) O3 - Toolbar: Поиск WebAlta - - mscoree.dll (file missing)
Выполните скрипт в AVZ:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ehdncpn.exe',''); QuarantineFile('C:\DOCUME~1\726E~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\kllmrec.dll',''); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\kllmrec.dll'); DeleteFile('C:\DOCUME~1\726E~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE'); DeleteFile('C:\WINDOWS\Tasks\At1.job'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\ehdncpn.exe'); DeleteFile('C:\WINDOWS\Tasks\erzpmrb.job'); DelBHO(''); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); RebootWindows(true); end.
После перезагрузки выполните скрипт:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
— Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Trojan.Agent.Win32
Trojan.Agent — большое семейство троянских программ занимающихся кражей информации. К этому семейству обычно относят небольшие вредоносные программы, которые являются составной частью какого-то троянца, состоящего из множества файлов-модулей.
Методы распространения
Такие троянские программы попадают на компьютер, как правило, в составе другого вредоносного ПО: сетевых червей, а также других троянских программ.
Функциональные возможности
Троянская программа использует несколько методов маскировки, чтобы избежать обнаружения со стороны пользователя. Trojan.Agent удаляет исходный файл, из которого был запущен, скрывает свой процесс из списка процессов «Диспетчера задач», запрещает отображение скрытых файлов, блокирует запуск некоторых антивирусных программ и доступ к антивирусным сайтам, также пытается выгрузить из памяти антивирусное ПО.Троянская программа прекращает свое выполнение, если обнаруживает, что она выполняется в среде виртуальной машины, такой как VMWare или VirtuklPC.
Деструктивные действия
Крадет аккаунты on-line игр, а также другие логины и пароли, используемые для авторизации на сервисах сети Internet, после чего информация пересылается злоумышленнику. Скачивает из Internet другое вредоносное ПО и скрытно инсталлирует его в систему.
Тройной инфектор
Как все знают, к нам в отдел исследований и разработок порой приходят необычные вирусы. Мы описываем принцип работы самых интересных из них и предлагаем на суд нашим читателям, чаще всего на ресурс www.securelist.ru. Но сейчас у нас появилась новая аудитория — Хабр — и мы решили припасти один интересный случай для вас. Материал подготовил Вячеслав Закоржевский, антивирусный эксперт «Лаборатории Касперского», который и ответит на интересные вопросы в комментариях.
Поводом к написанию этого поста послужило то, что недавно мы обнаружили червь (Trojan.Win32.Lebag.afa), который заражает файлы сразу трех разных типов. Он представляет собой исполняемый модуль и способен инфицировать Portable Executable-файлы (.exe, .dll, .scr), MS Office-документы (.doc, .xls) и web-страницы (.htm, .html). Помимо распространения через зараженные файлы данный червь передается с компьютера на компьютер при помощи «autorun.inf» файла. Как же он работает?
Если открыть инфицированный Excel-документ, то первое впечатление — обычная таблица с непонятными иероглифами и картинками.
Фрагмент зараженного Excel-документа
Однако данный документ не простой — он содержит в себе дополнительный макрос, который добавляется червем. Следует отметить, что макрос исполнится только в том случае, если пользователь сам разрешит это. По умолчанию же Microsoft Office заблокирует его вызов.
Фрагмент кода макроса зараженного Excel-документа
Данный макрос записывает в файл преобразованную последовательность массива символов, и на выходе получается исполняемый файл с именем “??explore.exe” (первые две буквы генерируются случайным образом), который и является исходным червем. После записи на диск он, естественно, будет исполнен.
Инфицирование Web-документов производится примитивным методом. В конец HTML-файлов дописывается VBScript-скрипт, функционал которого не отличается от предыдущего VBA-макроса:
Фрагмент зараженного html-документа
А теперь — о заражении PE-образов. В конец исполняемого файла добавляется дополнительная секция «.text» размером 172 Кб. В ней содержится зашифрованное тело нашего червя и код расшифровщика. Червь изменяет точку входа заражаемого файла в PE-заголовке таким образом, что она начинает указывать на вредоносный код. Следовательно, исполнение программы начнется именно с него, но в конечном итоге управление будет передано на оригинальную EP (Entry Point), чтобы у пользователя не возникло подозрений в инфицировании системы.
И наконец — о самом черве. Что же он делает? Зловред дропает на диск три файла: dll-библиотека, отвечающая за бэкдорную часть (Backdoor.Win32.IRCNite.clf), dll-библиотека, ответственная за создание файлов autorun.inf (Worm.Win32.Agent.adz), и, наконец, третья библиотека — непосредственный лаунчер (Trojan.Win32.Starter.yy) предыдущих двух. Бэкдор при подсоединении к серверам ждет команд, и в зависимости от полученной команды выполняет функцию Trojan-Downloader или Trojan-Spy (отправляя скриншот рабочего стола, а также cookies). Кроме того, по заданной команде зловред может обновиться до последней версии.
Итого, мы имеем вредоносную программу, которая заражает три типа файлов (PE, XLS/DOC, HTML), распространяется через флешки и содержит в себе функционал бэкдора. Подобные зловреды еще раз показывают: совсем необязательно применять 0-day эксплойты для своего распространения. Кстати, не стоит снижать «уровень безопасности» в вашем Microsoft Word/Excel, а иначе это может привести к нехорошим последствиям. Кроме того, следует отключить автоматический запуск autorun.inf при подключении внешних носителей. Эти простые советы обезопасят ваш компьютер от заражения.
- лаборатория касперского
- касперский
- троян
- вредоносные программы