      
|
|
|
|
| Encyklopedia Wirusów |  |
Riskware | |
Kalendarium | |
Aktualności | |
Artykuły/Analizy | |
Słownik | |
Dziennik Analityków |
|
|
| ||||||||
|
| ||||||||
|
| O hakerach |
Dowiedz się o nowościach związanych z tematem Hakerzy |
| O Spamie |
Co to jest spam? Jakie są najnowsze informacje dotyczące spamu. Zajrzyj tutaj |
| Poziomy Zagrożenia Epidemią Wirusów |
Zastanawiasz się co oznaczają poszczególne poziomy aktywności wirusów? Zajrzyj tutaj |
Strona Główna / Wirusy / Opisy złośliwego oprogramowania / Konie trojańskie
Trojan-Downloader.Win32.Agent.mee
Inne wersje: .bq, .pj, .rs, .fk, .td, .zf, .bl, .alr, .ac, .uj, .bvz, .fpp, .a,
| Data dodania opisu | 15 maja 2009 |
| Klasyfikacja | Konie trojańskie |
| Szczegóły Techniczne |
Instalacja
Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe":
%System%\inetsrv\lsass.exe
Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".
Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"
Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.
Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.
Tworzy również następujący klucz rejestru:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)"
Funkcje szkodnika
Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej:
:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
(x) określa dysk.
Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku:
(X):\autorun.inf
Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.
Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".
Usuwanie szkodnika z zainfekowanego systemu
Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
- Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
- Usuń następujący klucz rejestru systemowego:
[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)" - Usuń następującą wartość parametru klucza rejestru:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe" - Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
- Usuń następujące pliki:
%System%\inetsrv\lsass.exe
:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe :\autorun.inf - Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
| Inne znane nazwy szkodnika |
Copyright ©
Kaspersky Lab Polska Sp. z o.o.
ul. Krótka 27a 42-200 Częstochowa
tel./fax +48 34 3681814, 801 000 215
Email: webmaster@kaspersky.pl
