VirusClean: Удаление и лечение вирусов Рязань, установка и настройка антивирусных программ


Перейти к содержанию

Как удалить Trojan-Dropper.Win32.Agent.zlo?

Статьи

Сравнительно недавно, 12 ноября 2008 года появилась новая троянская программа, которая внедряется в операционную
систему и запускает различные команды самостоятельно, в автоматическом режиме. Данная программа является
приложением «Windows» и имеет размеры 18540 байт. Программа находится в архиве и упакована с помощью UPack.
Размер данной программы невелик и составляет 149 Кб. Данная программа написана на языке C++. «Trojan –
Dropper.Win32.Agent.zlo» имеет такие модификации, как:


Trojan-Dropper.Win32.Agent.aaj

Trojan-Dropper.Win32.Agent.adi

Trojan-Dropper.Win32.Agent.aga

Trojan-Dropper.Win32.Agent.albv

Trojan-Dropper.Win32.Agent.ate

Trojan-Dropper.Win32.Agent.awwv

Trojan-Dropper.Win32.Agent.ayqa

Trojan-Dropper.Win32.Agent.bc

Trojan-Dropper.Win32.Agent.bgn

Trojan-Dropper.Win32.Agent.bh

Trojan-Dropper.Win32.Agent.bot

Trojan-Dropper.Win32.Agent.bv

Trojan-Dropper.Win32.Agent.lg

Trojan-Dropper.Win32.Agent.mc

Trojan-Dropper.Win32.Agent.vw

Этот вирус может иметь также такие имена, как:

Exp/MS08067-A (Sophos),

W32/Gimmiv.C.worm (Panda),

W32/Heuristic-210!Eldorado (FPROT),

Trojan.MulDrop.23053 (DrWeb),

Win32/TrojanDownloader.Agent.OOB trojan (Nod32),

MemScan:Exploit.MS08-067.D (BitDef7),

Win32:Trojan-gen {Other} (AVAST),

Trojan.Win32.Obfuscated (Ikarus),

Dropper.Agent.KVU (AVG),

TR/Drop.Agent.Zlo.2 (AVIRA),

Trojan.Dropper (NAV),

W32/Packed_Upack.A (Norman).

При внедрении данной программы на компьютер пользователя создается деструктивная активность, а вирус прописывает
в программе свой уникальный идентификатор mscongmutexx. После внедрения, троянская программа Trojan-
Dropper.Win32.Agent.zlo отключает службы lanmanserver.


Служба lanmanserver отвечает за взаимодействие всех программ в сети, а также за работу файлов и принтеров. Вирус -
троян повреждает и сетевое взаимодействие компьютеров.


Следующим этапом, зловредная программа извлекает файл во временный каталог пользователя «Windows» и создает ему
имя «suchots.exe»:


%Temp%\suchots.exe. Этот файл размером в 5120 байтов обнаруживается различными антивирусными программами,
такими как: Exploit.Win32.IMG-WMF.fk. Далее, используя уязвимость «MS08-067», вирус загружает файл с URL -
http://*****866.org:8808/a/mm.exe.


Полученный файл легко обнаружить под именем Trojan-GameThief.Win32.OnLineGames.bkzf. После загрузки компьютера,
троян запускает свои вредоносные действия.


В случае заражения компьютера данной вредоносной программой необходимо воспользоваться «Диспетчером задач» и
завершить работу этой трояна. После этого необходимо удалить вредоносный файл троянской программы. Далее следует
удалить файлы: %Temp%\suchots.exe и %Work%\mm.exe, после этого необходимо возобновить работу следующих служб:
lanmanserver, Browser. Следующий этап – это установка обновлений:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. В завершении следует вновь произвести проверку
компьютера антивирусной программой с обновленными базами.

Главная страница | Статьи | Наши услуги | Самолечение | Контакты | Он-лайн заявка | Карта сайта


Назад к содержанию | Назад к главному меню
Яндекс.Метрика