Trojan.Agent.Win32
Trojan.Agent — большое семейство троянских программ занимающихся кражей информации. К этому семейству обычно относят небольшие вредоносные программы, которые являются составной частью какого-то троянца, состоящего из множества файлов-модулей.
Методы распространения
Такие троянские программы попадают на компьютер, как правило, в составе другого вредоносного ПО: сетевых червей, а также других троянских программ.
Функциональные возможности
Троянская программа использует несколько методов маскировки, чтобы избежать обнаружения со стороны пользователя. Trojan.Agent удаляет исходный файл, из которого был запущен, скрывает свой процесс из списка процессов «Диспетчера задач», запрещает отображение скрытых файлов, блокирует запуск некоторых антивирусных программ и доступ к антивирусным сайтам, также пытается выгрузить из памяти антивирусное ПО.Троянская программа прекращает свое выполнение, если обнаруживает, что она выполняется в среде виртуальной машины, такой как VMWare или VirtuklPC.
Деструктивные действия
Крадет аккаунты on-line игр, а также другие логины и пароли, используемые для авторизации на сервисах сети Internet, после чего информация пересылается злоумышленнику. Скачивает из Internet другое вредоносное ПО и скрытно инсталлирует его в систему.
Trojan.Win32.Agentb
Вредоносные программы этого семейства уничтожают, блокируют, изменяют или копируют данные, а также нарушают работу компьютеров или компьютерных сетей.
TOP 10 стран по количеству атакованных пользователей (%)
| Страна | % атакованных пользователей* | |
| 1 | Российская Федерация | 17,10 |
| 2 | Алжир | 9,78 |
| 3 | Индия | 5,34 |
| 4 | Вьетнам | 3,30 |
| 5 | Индонезия | 3,19 |
| 6 | Буркина-Фасо | 2,68 |
| 7 | Кот-д’Ивуар | 2,53 |
| 8 | Япония | 2,36 |
| 9 | Руанда | 2,16 |
| 10 | Турция | 1,89 |
*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом
Trojan.Agent.Win32.128978
Trojan.Agent.Win32.128978 – троянская программа, ворующая пароли к e-mail аккаунтами и превращающая машину в Spam-bot.
Методы распространения
В основном, рраспространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждает пользователя скачать вредоносное ПО и запустить у себя на компьютере. Также, троянская программа, активно рраспространяются порносайтами, под видом программы необходимой для просмотра фотографий и видео файлов.
Техническое описание
Вредоносный файл упакован UPX, имеет рразмер 11776 Байт в упакованном виде и 23552 Байта в распакованном виде. Написан на Microsoft Visukl C++ 6.0.
Для беспрепятственного доступа к Internet — ррегистрирует свое тело во встроенном Firewall Windows, добавляя ключ в ветвь реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
Пытается украсть пароли и логины к e-mail аккаунтам, и отправить их злоумышленнику, после чего открывает на прослушивание случайный порт TCP и ожидает команд от злоумышленника.
Для проверки своего присутствия в системе, создает уникальный mutex » qiwuyeiu2983″, который используется для предотвращения многократного запуска троянской программы на одном компьютере.
Деструктивные возможности
Вредоносная программа воруют пароли к e-mail аккаунтами и отсылает их злоумышленнику. Зараженная машина превращается в Spam-bot, то есть машину для рассылку спама, контролируя работу программы через Internet злоумышленник рассылает письма с инфицированного компьютера.
Trojan.Win32.Agent.il
В октябре 2005 года наблюдался пик активности данной троянской программы. Данный троян интересен тем, что не лечится антивирусами — удаление самого «зверя» недостаточно для восстановления работы системы.
Сам троян имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение «Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail <**email злоумышленника**>код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления. » с заголовком окна «DANGER»
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты «скрытый», «системный» для Windows, Program Files (при этом делает это некорректно — папки ищутся на диске C:\), создает несколько посторонних папок, в частности «Типа WINDOWS» «Типа WINDOWS2» «Типо Мои Докумены»
Лечение
Методика лечения:
1. Пролечить систему AVZ, он должен найти и удалить файл даннйо троянской программы, должно удалиться минимум 2 файла в папке Windows. Файлы можно удалить вручную:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
2. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции восстановления и нажать кнопку «Выполнить отмеченные операции»
3. Перезагрузить компьютер. Сообщение в загрузке должно пропасть, блокировки вызова настроек и прочее должно восстановиться
4. Зайти любым менеджером диска (типа FAR) на системный диск и
4.1 Изменить атрибуты папок Windows и Program Files на нормальные (у них задан атрибут «скрытый»)
4.2 Удалить пустые папки «Типа WINDOWS» «Типа WINDOWS2» «Типо Мои Докумены»
5. Зайти в панель управления, там — в «Язык и региональные стандарты» — и там на первой закладке переключитьс с русского скажем на румынский и назад — это приведет к восстановлению региональных настроек, в частности, форматной маски времени — после этого часы в трее и отображение времени в программах нормализуется.
Известен второй вариант данного трояна — REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
В текущей версии трояна он некорректно копирует свои exe в систему — он полагает, что система находится на c:\windows — при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.