|
Троян (англ. - trojan) - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты компьютерной системы с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленников.
Похитители паролей (Trojan-PSW) - трояны, предназначенные для получения паролей и прочей конфиденциальной информации, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.
Лечение систем, зараженных вредоносными программами семейства Trojan-PSW.Win32.Kates (также известен как W32/Daonol) производится с помощью установленного на компьютерах Антивируса Касперского. Если же Антивирус Касперского не установлен, то мы рекомендуем либо установить один из продуктов Лаборатории Касперского, либо воспользоваться утилитой KatesKiller.exe для удаления вредоносных программ семейства Trojan-PSW.Win32.Kates.
Лечение зараженной системы
- Скачайте архив KatesKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу - архиватор (например, WinZip).
- Запустите файл KatesKiller.exe.
- Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.
Дополнительные ключи для запуска утилиты из командной строки
-l <имя_файла> - запись отчета в файл.
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l).
-s - проверка в "тихом" режиме (без вывода консольного окна).
-y - закрытие окна по окончании работы утилиты.
Признаки заражения Trojan-PSW.Win32.Kates:
- Антивирусная программа находит зараженный файл с произвольным именем и расширением, который удаляется, но тут же восстанавливается снова (к продуктам Лаборатории Касперского это не относится. Антивирус Касперского включает в себя специальную процедуру лечения).
- При попытке запуска следующих приложений explorer.exe самопроизвольно завершается:
- Редактор реестра (regedit.exe);
- Командная строка (cmd.exe);
- Total Commander.
- Невозможно запустить файлы с расширениями:
- Происходят перехваты следующих функций почти во всех процессах:
- CreateProcessW;
- WSARecv;
- WSASend;
- send;
- connect;
- recv.
Для опытных пользователей: можно отследить перехваты, используя, например, программу Gmer :
_2.jpg)
или Rootkit Unhooker:
_3.jpg)
В ходе своей работы утилита при запуске без параметров выполняет:
- Поиск и завершение зловредных потоков (threads);
- Поиск и снятие перехватов функций:
- CreateProcessW;
- WSASend;
- WSARecv;
- send;
- recv;
- connect.
- Поиск и удаление файлов и ключей реестра, относящихся к вредоносной программе.
- Перезагрузка после лечения не требуется.
_1.jpg)
| 
487 
21.12.2009 14:25
