Статьи
Сравнительно недавно, 12 ноября 2008 года появилась новая троянская программа, которая внедряется в операционную
систему и запускает различные команды самостоятельно, в автоматическом режиме. Данная программа является
приложением «Windows» и имеет размеры 18540 байт. Программа находится в архиве и упакована с помощью UPack.
Размер данной программы невелик и составляет 149 Кб. Данная программа написана на языке C++. «Trojan –
Dropper.Win32.Agent.zlo» имеет такие модификации, как:
Trojan-Dropper.Win32.Agent.aaj
Trojan-Dropper.Win32.Agent.adi
Trojan-Dropper.Win32.Agent.aga
Trojan-Dropper.Win32.Agent.albv
Trojan-Dropper.Win32.Agent.ate
Trojan-Dropper.Win32.Agent.awwv
Trojan-Dropper.Win32.Agent.ayqa
Trojan-Dropper.Win32.Agent.bc
Trojan-Dropper.Win32.Agent.bgn
Trojan-Dropper.Win32.Agent.bh
Trojan-Dropper.Win32.Agent.bot
Trojan-Dropper.Win32.Agent.bv
Trojan-Dropper.Win32.Agent.lg
Trojan-Dropper.Win32.Agent.mc
Trojan-Dropper.Win32.Agent.vw
Этот вирус может иметь также такие имена, как:
Exp/MS08067-A (Sophos),
W32/Gimmiv.C.worm (Panda),
W32/Heuristic-210!Eldorado (FPROT),
Trojan.MulDrop.23053 (DrWeb),
Win32/TrojanDownloader.Agent.OOB trojan (Nod32),
MemScan:Exploit.MS08-067.D (BitDef7),
Win32:Trojan-gen {Other} (AVAST),
Trojan.Win32.Obfuscated (Ikarus),
Dropper.Agent.KVU (AVG),
TR/Drop.Agent.Zlo.2 (AVIRA),
Trojan.Dropper (NAV),
W32/Packed_Upack.A (Norman).
При внедрении данной программы на компьютер пользователя создается деструктивная активность, а вирус прописывает
в программе свой уникальный идентификатор mscongmutexx. После внедрения, троянская программа Trojan-
Dropper.Win32.Agent.zlo отключает службы lanmanserver.
Служба lanmanserver отвечает за взаимодействие всех программ в сети, а также за работу файлов и принтеров. Вирус -
троян повреждает и сетевое взаимодействие компьютеров.
Следующим этапом, зловредная программа извлекает файл во временный каталог пользователя «Windows» и создает ему
имя «suchots.exe»:
%Temp%\suchots.exe. Этот файл размером в 5120 байтов обнаруживается различными антивирусными программами,
такими как: Exploit.Win32.IMG-WMF.fk. Далее, используя уязвимость «MS08-067», вирус загружает файл с URL -
http://*****866.org:8808/a/mm.exe.
Полученный файл легко обнаружить под именем Trojan-GameThief.Win32.OnLineGames.bkzf. После загрузки компьютера,
троян запускает свои вредоносные действия.
В случае заражения компьютера данной вредоносной программой необходимо воспользоваться «Диспетчером задач» и
завершить работу этой трояна. После этого необходимо удалить вредоносный файл троянской программы. Далее следует
удалить файлы: %Temp%\suchots.exe и %Work%\mm.exe, после этого необходимо возобновить работу следующих служб:
lanmanserver, Browser. Следующий этап – это установка обновлений:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. В завершении следует вновь произвести проверку
компьютера антивирусной программой с обновленными базами.