Как удалить Trojan-Dropper.Win32.Agent.zlo?

Как удалить Trojan-Dropper.Win32.Agent.zlo?

Сравнительно недавно, 12 ноября 2008 года появилась новая троянская программа, которая внедряется в операционную систему и запускает различные команды самостоятельно, в автоматическом режиме. Данная программа является приложением «Windows» и имеет размеры 18540 байт. Программа находится в архиве и упакована с помощью UPack. Размер данной программы невелик и составляет 149 Кб. Данная программа написана на языке C++. «Trojan – Dropper.Win32.Agent.zlo» имеет такие модификации, как:

Trojan-Dropper.Win32.Agent.aaj

Trojan-Dropper.Win32.Agent.adi

Trojan-Dropper.Win32.Agent.aga

Trojan-Dropper.Win32.Agent.albv

Trojan-Dropper.Win32.Agent.ate

Trojan-Dropper.Win32.Agent.awwv

Trojan-Dropper.Win32.Agent.ayqa

Trojan-Dropper.Win32.Agent.bc

Trojan-Dropper.Win32.Agent.bgn

Trojan-Dropper.Win32.Agent.bh

Trojan-Dropper.Win32.Agent.bot

Trojan-Dropper.Win32.Agent.bv

Trojan-Dropper.Win32.Agent.lg

Trojan-Dropper.Win32.Agent.mc

Trojan-Dropper.Win32.Agent.vw

Этот вирус может иметь также такие имена, как:

Exp/MS08067-A (Sophos),

W32/Gimmiv.C.worm (Panda),

W32/Heuristic-210!Eldorado (FPROT),

Trojan.MulDrop.23053 (DrWeb),

Win32/TrojanDownloader.Agent.OOB trojan (Nod32),

MemScan:Exploit.MS08-067.D (BitDef7),

Win32:Trojan-gen (AVAST),

Trojan.Win32.Obfuscated (Ikarus),

Dropper.Agent.KVU (AVG),

TR/Drop.Agent.Zlo.2 (AVIRA),

Trojan.Dropper (NAV),

W32/Packed_Upack.A (Norman).

При внедрении данной программы на компьютер пользователя создается деструктивная активность, а вирус прописывает в программе свой уникальный идентификатор mscongmutexx. После внедрения, троянская программа Trojan-Dropper.Win32.Agent.zlo отключает службы lanmanserver.

Служба lanmanserver отвечает за взаимодействие всех программ в сети, а также за работу файлов и принтеров. Вирус - троян повреждает и сетевое взаимодействие компьютеров.

Следующим этапом, зловредная программа извлекает файл во временный каталог пользователя «Windows» и создает ему имя «suchots.exe»:

%Temp%\suchots.exe. Этот файл размером в 5120 байтов обнаруживается различными антивирусными программами, такими как: Exploit.Win32.IMG-WMF.fk. Далее, используя уязвимость «MS08-067», вирус загружает файл с URL - http://*****866.org:8808/a/mm.exe.

Полученный файл легко обнаружить под именем Trojan-GameThief.Win32.OnLineGames.bkzf. После загрузки компьютера, троян запускает свои вредоносные действия.

В случае заражения компьютера данной вредоносной программой необходимо воспользоваться «Диспетчером задач» и завершить работу этой трояна. После этого необходимо удалить вредоносный файл троянской программы. Далее следует удалить файлы: %Temp%\suchots.exe и %Work%\mm.exe, после этого необходимо возобновить работу следующих служб: lanmanserver, Browser. Следующий этап – это установка обновлений: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx. В завершении следует вновь произвести проверку компьютера антивирусной программой с обновленными базами.