Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Encyklopedia Konie trojańskie Trojan-Downloader.Win32.Agent.mee

Trojan-Downloader.Win32.Agent.mee

Szkodnik ten jest trojanem. Ma postać pliku PE EXE. Rozmiar zainfekowanych plików może wahać się od 70KB do 260KB. Nie został w żaden sposób spakowany. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu trojan kopiuje swoje ciało do podkatalogu “intetsrv” katalogu Windows jako "lsass.exe": 

%System%\inetsrv\lsass.exe

Plikowi temu przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\inetsrv\lsass.exe"

Dzięki temu trojan uruchamia się, zanim użytkownik uzyska dostęp do systemu Windows.

Trojan tworzy również unikatowy identyfikator, “izokraSizokraS” w celu oflagowania swojej obecności w systemie.

Tworzy również następujący klucz rejestru:

[HKLM\Software\Microsoft\Internet Explorer\inet.]
"Day" = "(data uruchomienia trojana)"

Funkcje szkodnika

Trojan kopiuje swoje ciało do wszystkich dysków sieciowych, logicznych i wymiennych, które zapewniają możliwość zapisu, takich jak te poniżej: 

:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe

(x) określa dysk.

Oprócz swojego pliku wykonywalnego trojan umieszcza również poniższy plik w katalogu głównym każdego dysku: 

(X):\autorun.inf

Plik ten będzie uruchamiał plik wykonywalny trojana za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy użyciu Eksploratora.

Wszystkim plikom stworzonym przez trojana przypisywane są atrybuty "ukryty" i "tylko do odczytu".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń następujący klucz rejestru systemowego:

    [HKLM\Software\Microsoft\Internet Explorer\inet.]
    "Day" = "(data uruchomienia trojana)"

  3. Usuń następującą wartość parametru klucza rejestru:

    [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "load" = "%System%\inetsrv\lsass.exe"

  4. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  5. Usuń następujące pliki: 
    %System%\inetsrv\lsass.exe
:\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\lsass.exe
:\autorun.inf
  6. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).
<alias> Trojan-Downloader.Win32.Agent.mee (Kaspersky Lab), </alias>

Drukuj
Udostępnij

Analizy

Spam i phishing w 2018 r.

Cyberzagrożenia finansowe w 2018 r.

Ewolucja mobilnego szkodliwego oprogramowania w 2018 r.

Zagrożenia dla użytkowników stron dla dorosłych w 2018 roku

Ataki DDoS w IV kwartale 2018 r.

Blog

Zdalnie kontrolowane domowe ładowarki pojazdów elektrycznych – zagrożenia i luki w zabezpieczeniach

Czy wiesz, ile jesteś wart?

Badanie dot. aplikacji umożliwiających korzystanie ze wspólnych samochodów (car sharing)

Żadnej taryfy ulgowej dla szkodnika ExPetr

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware



Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik