[ Войти · Правила форума · Поиск · RSS ]

  • Страница 1 из 1
  • 1
Trojan-Spy.Win32.Carberp.adw
AnymousДата: Вторник, 27.09.2011, 13:19 | Сообщение # 1
.::Создатель::.
Сообщений: 863
Репутация: 53 ±
Награды: 24 +
Технические детали

Программа-шпион, предназначенная для похищения конфиденциальных данных пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 120359 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 133 КБ. Написана на C++.
Инсталляция

Создает копию своего файла со случайным именем в каталоге автозапуска Windows:
%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
<rnd> - набор из букв латинского алфавита и цифр, например, "3iik3ug9". Своей копии троянец устанавливает атрибуты "системный" и "архивный".
Деструктивная активность

Троянец запускает легитимные файлы "explorer.exe" и "svchost.exe", после этого внедряет в них свой вредоносный код. При этом троянец модифицирует код легитимных файлов таким образом, что они будут запускать на исполнение внедренный вредоносный код.

Далее троянец удаляет свое оригинальное тело.

Вредоносный код внедренный в процессы выполняет соединение с сервером злоумышленника:
76.76.***.2 123ge***rs.org Getl***an.org Gerc***z.org
и ожидает команды. По команде злоумышленника вредоносный код может:
Загружать и запускать на исполнение другие вредоносные файлы или свою обновленную версию;
Получать другие адреса для соединения с сервером злоумышленника;
Нарушить работу операционной системы путем удаления или перезаписи критически важных системных файлов;
Протоколировать нажимаемые пользователем клавиши клавиатуры;
Отслеживать сетевой трафик компьютера пользователя;
Сохранять снимки рабочего стола пользователя;
Собирать информацию о компьютере пользователя и установленном программном обеспечении.
Предоставлять доступ злоумышленника через удаленный рачий стол.
Собранные данные троянец может отсылать на сервера злоумышленника.

На момент создания описания троянец загружал свой обновленный файл размером 199168 байт; MD5: 85e054bc0e5b8fc2b908e4879d1dfa9; детектируется Антивирусом Касперского как Net-Worm.Win32.Koobface.jfw.

[admin]Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Выполнить загрузку Windows в "Безопасном режиме"
Удалить вредоносные файлы из каталога автозагрузки:
%UserProfile%\Start Menu\Programs\Startup\<rnd>.exe
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:
%Temporary Internet Files%[/admin]

Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
 
  • Страница 1 из 1
  • 1
Поиск:


Чтобы добавить сообщение или создать новую тему, необходимо зарегистрироваться или зайти под своим ником!
вверх
Файлы для обмена предоставлены пользователями сайта. Администрация не несёт ответственности за их содержание. На сервере хранятся только торрент-файлы. Это значит, что мы не храним никаких нелегальных материалов, а так же материалов охраняемых авторским правом.
RudSOFT © 2010 - 2024 | Карта сайта | Карта форума | Хостинг от uCoz Cвязь с Администрацией | Информация для правообладателей