Компьютерные вирусы, вредоносные программы

Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Троянские программы / Trojan Proxies
Trojan-Proxy.Win32.Agent.q
Другие модификации: .is, .lu, .o, .qm, .v, .x, .y

Другие названия
Trojan-Proxy.Win32.Agent.q («Лаборатория Касперского») также известен как: TrojanProxy.Win32.Agent.q («Лаборатория Касперского»), Proxy-Mitglieder.gen.c (McAfee), Backdoor.Trojan (Symantec), Trojan.Proxy.28798 (Doctor Web), TrojanProxy:Win32/Agent.Q (RAV), TROJ_AGENT.Q (Trend Micro), TR/Agent.Q (H+BEDV), Win32:Trojan-gen. (ALWIL), Proxy.2.BC (Grisoft), Trojan.Proxy.Agent.Q (SOFTWIN), Trj/Agent.E (Panda), Win32/TrojanProxy.Agent.Q (Eset)
Описание опубликовано 26 фев 2007
Поведение Trojan-Proxy, троянский proxy-сервер

* Технические детали
* Деструктивная активность
* Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя запускает прокси-сервер на зараженном компьютере. Является приложением Windows (PE-EXE файл). Имеет размер 28796 байт. Ничем не упакована.
Инсталляция

При запуске троянец копирует свой исполняемый файл под именем:

%Program Files%\q~1\svchst32.exe

После этого оригинальный файл удаляется.

Вирус добавляет ссылку на собственный exe-файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"bab" = "c:\progra~1\q~1\svchst32.exe"

Также генерируется следующий файл:

c:\!stealth.txt

Деструктивная активность

Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса.

Вредоносная программа пытается завершить следующие процессы:

* ZONEALARM.EXE
* WFINDV32.EXE
* WEBSCANX.EXE
* VSSTAT.EXE
* VSHWIN32.EXE
* VSECOMR.EXE
* VSCAN40.EXE
* VETTRAY.EXE
* VET95.EXE
* TDS2-NT.EXE
* TDS2-98.EXE
* TCA.EXE
* TBSCAN.EXE
* SWEEP95.EXE
* SPHINX.EXE
* SMC.EXE
* SERV95.EXE
* SCRSCAN.EXE
* SCANPM.EXE
* SCAN95.EXE
* SCAN32.EXE
* SAFEWEB.EXE
* RESCUE.EXE
* RAV7WIN.EXE
* RAV7.EXE
* PERSFW.EXE
* PCFWALLICON.EXE
* PCCWIN98.EXE
* PAVW.EXE
* PAVSCHED.EXE
* PAVCL.EXE
* PADMIN.EXE
* OUTPOST.EXE
* NVC95.EXE
* NUPGRADE.EXE
* NORMIST.EXE
* NMAIN.EXE
* NISUM.EXE
* NAVWNT.EXE
* NAVW32.EXE
* NAVNT.EXE
* NAVLU32.EXE
* NAVAPW32.EXE
* N32SCANW.EXE
* MPFTRAY.EXE
* MOOLIVE.EXE
* LUALL.EXE
* LOOKOUT.EXE
* LOCKDOWN2000.EXE
* JEDI.EXE
* IOMON98.EXE
* IFACE.EXE
* ICSUPPNT.EXE
* ICSUPP95.EXE
* ICMON.EXE
* ICLOADNT.EXE
* ICLOAD95.EXE
* IBMAVSP.EXE
* IBMASN.EXE
* IAMSERV.EXE
* IAMAPP.EXE
* F-STOPW.EXE
* FRW.EXE
* FP-WIN.EXE
* F-PROT95.EXE
* F-PROT.EXE
* FPROT.EXE
* FINDVIRU.EXE
* F-AGNT95.EXE
* ESPWATCH.EXE
* ESAFE.EXE
* ECENGINE.EXE
* DVP95_0.EXE
* DVP95.EXE
* CLEANER3.EXE
* CLEANER.EXE
* CLAW95CF.EXE
* CLAW95.EXE
* CFINET32.EXE
* CFINET.EXE
* CFIAUDIT.EXE
* CFIADMIN.EXE
* BLACKICE.EXE
* BLACKD.EXE
* AVWUPD32.EXE
* AVWIN95.EXE
* AVSCHED32.EXE
* AVPUPD.EXE
* AVPTC32.EXE
* AVPM.EXE
* AVPDOS32.EXE
* AVPCC.EXE
* AVP32.EXE
* AVP.EXE
* AVNT.EXE
* AVKSERV.EXE
* AVGCTRL.EXE
* AVE32.EXE
* AVCONSOL.EXE
* AUTODOWN.EXE
* APVXDWIN.EXE
* ANTI-TROJAN.EXE
* ACKWIN32.EXE
* _AVPM.EXE
* _AVPCC.EXE
* _AVP32.EXE

Обновления для себя троянец загружает с сайта злоумышленника, сохраняя их с именами вида:

c:\progra~1\q~1\upd<номер скачанного файла>.exe

Скачанные файлы прописываются в ключ автозапуска системного реестра и запускаются на исполнение.
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить следующую папку (вместе со всем содержимым):

%Program Files%\q~1

3. Удалить параметр ключа автозагрузки системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"bab" = "c:\progra~1\q~1\svchst32.exe"