Методы обнаружения вирусов

Trojan.Win32.Jorik.Carberp.ar

Время детектирования 06 июл 2011 15:08 MSK
Время выпуска обновления 06 июл 2011 17:08 MSK
Описание опубликовано 20 сен 2011 16:23 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. возникает приложением Windows (PE-EXE файл). Имеет размеры 176640 байт. Упакована UPX. Распакованный размеры – около 245 КБ. написана на C++.

Инсталляция

После запуска вредонос копирует свое стан в каталог Автозагрузка текущего пользователя, обеспечивая для себя возможность механично запускаться при каждом следующем старте системы. фотоснимок создаётся со случайным именем:

%USERPROFILE%Start MenuProgramsStartup<rnd>.exe
где <rnd> – случайная последовательность цифр столь будто латинских букв, к примеру: "v6o3pl8nhq".

Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" столь будто внедряет в его адресное пространство исполняемый код, реализующий полный деструктивный функционал.


Деструктивная активность

Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает экземпляр системного процесса "SVCHOST.EXE" столь будто внедряет в его адресное пространство код, реализующий функционал бэкдора, столь будто выполняющий соответствующие действия:

  • удаляет своевольный файл вредоноса;
  • скрывает вперед созданную копию в каталоге Автозагрузка;
  • устанавливает соединение с серверами злодея для получения команд.

В зависимости от полученных команд, бэкдор может выполнять играть соответствующие действия:

  • обновлять общительный своевольный файл, загружая обновление с сервера злоумышленника;
  • загружать на зараженный индивидуальный личный индивидуальный комп другие файлы;
  • отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
  • собирать информацию о зараженной системе;
  • отслеживать клавиатурный ввод пользователя;
  • отсылать собранную информацию на сервер злоумышленника.

    В ходе личной работы бэкдор подключается к следующим серверам:

    me***i38.com
    a***gh.in
    

    На час создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106496 байт; MD5: 27DDD62D3F3C7DFA3498C9A077F3D93A, SHA1: D9E958FED91C1A78A82C26F8B1728CA532BEECD1; детектируется Антивирусом Касперского насколько "Trojan.Win32.Diple.vvd".


    Рекомендации по удалению

    Если ваш индивидуальный личный индивидуальный комп завершить был защищен антивирусом столь будто оказался заражен данной вредоносной программой, то для её удаления надо осуществить соответствующие действия:

    1. Перезагрузить индивидуальный личный индивидуальный комп в «безопасном режиме» (в самом начале загрузки нажать столь будто сберегать клавишу «F8», вдогонку за для тех раскопать баста «Safe Mode» в меню загрузки Windows).
    2. Удалить файл:
      %USERPROFILE%Start MenuProgramsStartup<rnd>.exe
    3. Очистить каталог Temporary Internet Files, какой-нибудь может хранить инфицированные файлы (Как отослать инфицированные файлы в папке Temporary Internet Files?).
    4. Произвести полную проверку индивидуального персонального компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

      MD5: BCB0C595A3CB7244FE00388963129476

      SHA1: 9F0FCBE303BE4B8020E731DB55DA5AAB84A08AF6


  • НОВОЕ НА САЙТЕ

    19 апреля 2019 года

    Компания «Доктор Веб» продолжает ломить над совместимостью своих продуктов с русскими ОС. вдогон за совместимостью продуктов Dr.Web с РЕД ОС 7.1 МУРОМ мы рады известить о получении подобного сертификата для совместной работы Dr.Web с снова одно... Антивирус Dr.Web

    18 апреля 2019 года

    Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (12.0.8.03281), модуля Dr.Web Updater (12.0.9.04050), а уж еще конфигурационных скриптов Lua-script for av-engine (12.0.6.04170) так что Lua-script for main (12.0.6.03130) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 так что Антивирус D... Антивирус Dr.Web

    15 апреля 2019 года

    Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android на гугл Play перед началом версии 12.3.2. Обновление связано с конфигурацией в политике фирмы Google, усовершенствованием обслуживания так что исправлением выявленных ошибок.

    Улучшения функций распознавания угроз:

    • Добавлен... Антивирус Dr.Web

      15 апреля 2019 года

      Компания «Доктор Веб» предлагает тех, кто-то получил чрез маркет гугл Play разрешение на противовирусный продукт Dr.Web Security Space для Android, однако вожделеет воспользоваться полнофункциональным продуктом Dr.Web — то поглощать с Фильтром звонков так словно СМС так словно Антивором, — скачивать полнофункциональные дистрибутивы с интернет-сайта... Антивирус Dr.Web

      12 апреля 2019 года

      Вирусные аналитики корпорации «Доктор Веб» изучили троянца Android.InfectionAds.1, какой применяет чуточку уязвимостей в ОС Android. С них поддержкой он заражает программы, а уж уж уж уж еще перемножать становить так словно вызволять приложения без участия пользователей. альтернативная опция Android.InfectionAds.1 — показ рекламы. Горячая лента угроз и предупреждений о вирусной опасности!