Методы обнаружения вирусов

Trojan-Downloader.Win32.Agent.teqa

Время детектирования 19 сен 2011 11:41 MSK
Время выпуска обновления 19 сен 2011 14:25 MSK
Описание опубликовано 13 дек 2011 12:54 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 11776 байт. Написана на С++.


Деструктивная активность

После запуска троянец проверяет имя своего исполняемого модуля. Если имя исполняемого файла троянца не "ctfmon.exe" - прекращает свою работу. Если же имя совпало – создает в системном реестре ключ: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
"Debugger" = "<путь_у_оригинальному_файлу_троянца>"
тем самым блокируя запуск оригинального приложения "ctfmon.exe". Кроме того, при их запуске в качестве отладчика будет стартовать исполняемый файл троянца. Далее троянец получает параметры, с которыми он был запущен. Если в качестве параметра передается строка содержащая символы "http:" – вредонос запускает еще одну копию своего процесса и передает ему в качестве параметра указанный вэб-адрес. Затем вредонос, в цикле, запускает на выполнение браузер MS Internet Explorer - "iexplore.exe".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить оригинальный процесс троянца.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра: 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 0a2582c8947eb6ebcb2c91661f89f1ea

SHA1: efa1f79f4c1473760aa7b5f0e5197f9d2366eda4


НОВОЕ НА САЙТЕ

13 мая 2024 года

В 2023 году одними из самых функциональных опасностей возобновил стали троянские приложения Trojan.AutoIt, сотворенные с применением скриптового языка AutoIt. Они распространяются в составе иных вредных приложений так будто затрудняют их обнаружение. а уж уж уж уж уж уж уж уж тоже наблюдалась высочай... Вирусные новости

SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]

The post SPEAKERMARKET — маркетплейс спикеров, найти спикера... Новости Безопастности

7 мая 2024 года

С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.

Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web

4 мая 2024 года

Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!

2 мая 2024 года

Компания «Доктор Веб» информирует об обновлении дарового приложения Антивирус Dr.Web Light для Android.

В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web

Main menu


Sub menu