Методы обнаружения вирусов

Trojan-GameThief.Win32.OnLineGames.boaq

Время детектирования 24 фев 2011 05:17 MSK
Время выпуска обновления 24 фев 2011 11:56 MSK
Описание опубликовано 15 дек 2011 19:13 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE EXE-файл). Имеет размер 18944 байта. Упакована при помощи UPX. Распакованный размер – около 32 КБ. Написана на C++.


Деструктивная активность

После активации троянец извлекает из своего тела следующие файлы в системный каталог Windows: 

%System%\qrd.dll
Данный файл имеет размер 7680 байт, детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.gxvs. 
%System%\<rnd>.ime
где <rnd> - случайная последовательность цифр, например "5553558".

Данный файл имеет размер 7168 байт, детектируется Антивирусом Касперского, как Trojan-PSW.Win32.QQPass.aklm. %System%\dazz.dat Данный файл имеет размер 256 байт. В данном файле троянец хранит свою служебную информацию в зашифрованном виде.

Далее троянец копирует файл: 

%System%\rundll32.exe
во временный каталог текущего пользователя Windows: 
%Temp%\Р $
При помощи данной копии системного файла "%System%\rundll32.exe" троянец запускает на выполнение извлеченные динамические библиотеки DLL.

По завершению работы троянец удаляет свое оригинальное тело.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Удалить файлы: 
    %System%\qrd.dll
%System%\<rnd>.ime
%System%\dazz.dat
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu