Security Lab

Trojan-Downloader.Java.Agent.lg

Trojan-Downloader.Java.Agent.lg

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их.

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 1977 байт.

Деструктивная активность

Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы. После запуска троянец загружает из сети Интернет файл по следующей ссылке:

http://mast*****d.fileave.com/Winlogin.exe
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\xx.exe

И после успешной загрузки запускается на выполнение. На момент создания описания по приведенной ссылке загружался файл размером 1461760 байт. Файл детектируется Антивирусом Касперского как "Trojan.Win32.Llac.wdu". Загруженный вредонос инсталлируется в систему, создавая копию:

%Temp%\rundll.exe

а также ключ автозапуска в системном реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll.exe" = "%Temp%\rundll.exe"

Загруженный вредонос является бэкдором, то есть дает возможность злоумышленнику получать удаленный доступ к зараженному компьютеру.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  • Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  • Удалить файлы:
    %Temp%\xx.exe
    %Temp%\rundll.exe
  • Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  • Удалить ключ системного реестра (как работать с реестром?):
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "rundll.exe" = "%Temp%\rundll.exe"
  • Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
  • Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!