Trojan Dropper - это вредоносные программы, предназначенные для скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в их теле. Эти вредоносные программы обычно без каких-либо сообщений (или с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог windows, системный каталог windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
Программы этого поведения хакеры используют:
• для скрытой инсталляции троянских программ и/или вирусов;
• для защиты от детектирования известных вредоносных программ антивирусами, поскольку не все они в состоянии проверить все компоненты внутри подобных «троянцев».
===================================================================================
Trojan-Dropper.Win32.Adeca.a
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 22504 байта. Упакована PE_Patch, UPack. Распакованный размер – около 692 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%Temp%\~~<rnd1>.~~~
(602112 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.WOW.vxw")
%System%\<rnd2>.ini
(2348 байт; является вспомогательным файлом троянца, вредоносного кода не содержит) где <rnd1> и <rnd2> – случайные последовательности цифр и латинских букв (например: "489ca84" и "t329119").
Запускает системную утилиту "rundll32.exe" со следующими параметрами:
%Temp%\~~<rnd1>.~~~ Install <полный путь к оригинальному файлу троянца>
Это приводит к вызову функции "Install" из извлеченной ранее библиотеки.
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
%Temp%\~~<rnd1>.~~~
%System%\<rnd2>.ini
Произвести полную проверку компьютера Антивирусом
==================================================================================
Trojan-Downloader.Win32.Mutant.gzo
Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 17920 байт. Написана на C++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл, который сохраняется во временном каталоге пользователя под следующим именем:
%Temp%\<rnd>.tmp
(21505 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Fregee.e")
где <rnd> – случайное шестнадцатеричное число.
Далее троянец вызывает из извлеченной библиотеки функцию с именем "anjpo".
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%Temp%\<rnd>.tmp
Произвести полную проверку компьютера Антивирусом
=================================================================================
Trojan.JS.Iframe.ia
Технические детали
Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 2404 байта.
Деструктивная активность
При открытии зараженной страницы в браузере пользователя, троянец пытается загрузить в скрытых фреймах ресурсы, которые располагаются по следующим ссылкам:
http://cli***ws.com/go/go.php?id=clicksor
http://cli***ws.com/on.html
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
Произвести полную проверку компьютера Антивирусом
Выкладывайте свои trojan-dropper'ы, попробуем помочь