Trojan-Downloader.Java.Agent.lg

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 1977 байт.

Деструктивная активность

Троянец представляет собой Java-апплет. Его запуск осуществляется с зараженной HTML-страницы. После запуска троянец загружает из сети Интернет файл по следующей ссылке:

http://mast*****d.fileave.com/Winlogin.exe
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%\xx.exe

И после успешной загрузки запускается на выполнение. На момент создания описания по приведенной ссылке загружался файл размером 1461760 байт. Файл детектируется Антивирусом Касперского как "Trojan.Win32.Llac.wdu". Загруженный вредонос инсталлируется в систему, создавая копию:

%Temp%\rundll.exe

а также ключ автозапуска в системном реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll.exe" = "%Temp%\rundll.exe"

Загруженный вредонос является бэкдором, то есть дает возможность злоумышленнику получать удаленный доступ к зараженному компьютеру.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

• Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
• Удалить файлы:
  %Temp%\xx.exe
  %Temp%\rundll.exe
• Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
• Удалить ключ системного реестра (как работать с реестром?):
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "rundll.exe" = "%Temp%\rundll.exe"
• Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
• Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.