ट्रोजन-ड्रॉपर : Win32.Agent.albv

यह ट्रोजन एक दुर्भावनापूर्ण पेलोड है। यह एक विंडोज़ PE EXE फ़ाइल है। इसका आकार 23552 बाइट्स है।

स्थापना
यह ट्रोजन अपने निष्पादन योग्य फ़ाइल की प्रतियां निम्न प्रकार से बनाता है:

%WinDir%\system\svhost.exe

यह सुनिश्चित करने के लिए कि सिस्‍टम रीबूट किये जाने पर ट्रोजन स्वतः ही लाँच हो गया है या नहीं, ट्रोजन सिस्टम रजिस्ट्री में अपनी निष्पादन योग्य फ़ाइल में एक लिंक जोड़ता है:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

पेलोड
ट्रोजन अपनी निष्पादन योग्य फ़ाइल को Windows Firewall की विश्वसनीय अनुप्रयोग सूची में जोड़ देता है। फिर यह "iexplore.exe" प्रक्रिया को लाँच करता है और इस प्रक्रिया में इसका कोड इंजेक्‍ट कर देता है।

यह निम्न प्रक्रियाओं को समाप्त करने का प्रयास भी करता है:

avesvc.exe ashdisp.exe avgrsx.exe bdss.exe spider.exe avp.exe nod32krn.exe cclaw.exe dvpapi.exe ewidoctrl.exe mcshield.exe pavfires.exe almon.exe ccapp.exe pccntmon.exe fssm32.exe

issvc.exe vsmon.exe cpf.exe ca.exe tnbutil.exe avp.exe mpfservice.exe npfmsg.exe outpost.exe tpsrv.exe pavfires.exe kpf4ss.exe persfw.exe vsserv.exe smc.exe

यह निम्नलिखित एंटीवायरस और फ़ायरवॉल कार्यक्रमों के साथ जुड़ी सेवाओं को निष्क्रिय करने का प्रयास भी करता है:

AntiVir Avast Antivirus AVG Antivirus BitDefender Dr.Web Kaspersky Antivirus Nod32 Norman Authentium Antivirus Ewido Security Suite McAfee VirusScan Panda Antivirus/Firewall Sophos Symantec/Norton PC-cillin Antivirus F-Secure Norton Personal Firewall ZoneAlarm

Comodo Firewall eTrust EZ Firewall F-Secure Internet Security Kaspersky Antihacker McAfee Personal Firewall Norman Personal Firewall Outpost Personal Firewall Panda Internet Seciruty Suite Panda Anti-Virus/Firewall Kerio Personal Firewall Tiny Personal Firewall BitDefender / Bull Guard Antivirus Sygate Personal Firewall

ट्रोजन नीचे दिखाए गए ब्राउज़रों के कैश में सेव किये हुए वेब साइटस् के पासवर्ड को प्रभावित करता है:

• मोझिला फ़ायर्फ़ॉक्स
• इंटरनेट एक्सप्लोरर
  

यह निम्नलिखित आईएम (IM) ग्राहकों के खाते के विवरण एवं पासवर्ड को भी प्रभावित करता है:

•  Trillian
•  Miranda
•  Yahoo Messenger
•  MySpace IM
•  Gaim
  

इस ट्रोजन में एक अंतर-निर्मित की-लॉगर (keylogger) है और उपयोगकर्ता के डेस्कटॉप के स्क्रीनशॉट बना सकता है। एक दशमलव संख्या होने के कारण इन स्क्रीनशॉट को के साथ में अस्थायी निर्देशिका में किया जाता है।

प्रभावित (Harvested) डाटा को दुर्भावनापूर्ण उपयोगकर्ता के सर्वर के लिए भेजा गया है:

212.158.160.***

हटाने योग्य मीडिया के माध्यम से प्रचार

ट्रोजन निम्नलिखित नाम के अंतर्गत प्रत्येक हटाने योग्य ड्राइव की जड़ में अपनी निष्पादन योग्य फ़ाइल की प्रतियां बनाता है:
<X>:\wlan.exe, एक्स डिस्क होती है

इसकी निष्पादन योग्य फ़ाइल के अतिरिक्‍त, ट्रोजन हर डिस्क के रूट निर्देशिका में नीचे दिखाए स्थानोंमें फाइल रखता है:
<X>:\autorun.inf

यह फाइल ट्रोजन निष्पादन योग्य फ़ाइल को उपयोगकर्ता द्वारा एक संक्रमित डिस्क एक्सप्लोरर का उपयोग कर खोलने पर हर बार लाँच करता है।

हटाने के निर्देश

यदि आपके कंप्यूटर में एक अद्यतन एंटीवायरस नहीं है, या कोई भी एंटीवायरस समाधान नहीं है, तो दुर्भावनापूर्ण प्रोग्राम को नष्ट करने के लिए नीचे दिए निर्देशों का पालन करें:

1. दुर्भावनापूर्ण प्रोग्राम की प्रक्रिया को समाप्त करने के लिए Task Manager का उपयोग करें .
   
2. मूल ट्रोजन फ़ाइल को हटाएँ (कैसे यह कार्यक्रम मूल पीड़ित मशीन में प्रवेश कर गया इस पर स्‍थान निर्भर करेगा)
3. निम्‍नलिखित system registry की पैरामीटर को हटाएँ:

4. निम्नलिखित फ़ाइल हटाएँ:

5. अस्थायी निर्देशिका (% Temp%) को रिक्‍त कर दें
6. नीचे सभी हटाने योग्य भंडारण मीडिया में दिखाई गई फ़ाइलों को हटा दें:

एक्स डिस्क होती है

7. अपने एंटीवायरस डाटाबेस को अद्यतन करें और एक कंप्यूटर का संपूर्ण स्कैन करें

स्रोत: : viruslist.com