الأسماء المستعارة:
حصان طروادة: Win32 و/ Kovter.C (مايكروسوفت)، Win32 و/ Kovter.A (ESET)
منصة:
نوافذ
المخاطر العامة التي تحيق التصويت:
الأضرار المحتملة:
توزيع المحتملة:
الالتهابات ما تردد عن:
معلومات التعرض:
- نوع التهديد: طروادة
في البرية: نعم
نظرة عامة
قناة العدوى:
انخفض بنسبة غيرها من البرامج الضارة
هذا طروادة تصل على نظام كملف انخفض بنسبة غيرها من البرامج الضارة أو كملف تدري تحميلها من قبل المستخدمين عند زيارة المواقع الخبيثة.
فإنه تعديل إعدادات منطقة إنترنت إكسبلورر.
لأنه يربط بعض المواقع لإرسال واستقبال المعلومات.
الصفات الفنية
حجم الملف:
يختلف
نوع الملف:
EXE
الذاكرة المقيم:
نعم
العينات الأولية التسجيل المتلقاة:
10 أكتوبر 2014
الحمولة:
يسرق المعلومات
تفاصيل وصول
هذا طروادة تصل على نظام كملف انخفض بنسبة غيرها من البرامج الضارة أو كملف تدري تحميلها من قبل المستخدمين عند زيارة المواقع الخبيثة.
تركيب
يضيف هذا طروادة العمليات التالية:
- ملف Svchost.exe
أنه يقحم رموز في عملية التالية (عناوين):
- ملف Svchost.exe
نظام آخر التعديلات
يضيف هذا طروادة إدخالات التسجيل التالية:
HKEY_CURRENT_USER \ برامج \ مايكروسوفت \
إنترنت إكسبلورر \ الرئيسية \ FeatureControl \
FEATURE_BLOCK_INPUT_PROMPTS
ملف Svchost.exe = "1"
إنترنت إكسبلورر \ الرئيسية \ FeatureControl \
FEATURE_BLOCK_INPUT_PROMPTS
ملف Svchost.exe = "1"
HKEY_CURRENT_USER \ برامج \ مايكروسوفت \
إنترنت إكسبلورر \ الرئيسية \ FeatureControl \
FEATURE_AJAX_CONNECTIONEVENTS
ملف Svchost.exe = "1"
إنترنت إكسبلورر \ الرئيسية \ FeatureControl \
FEATURE_AJAX_CONNECTIONEVENTS
ملف Svchost.exe = "1"
HKEY_LOCAL_MACHINE \ SOFTWARE \ مايكروسوفت \ و
يندوز \ \ سياسات \
التقييمات
(افتراضي) = "1"
يندوز \ \ سياسات \
التقييمات
(افتراضي) = "1"
HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ و
يندوز \ \ إعدادات الإنترنت
GlobalUserOffline = "0"
يندوز \ \ إعدادات الإنترنت
GlobalUserOffline = "0"
مستعرض ويب الصفحة الرئيسية وصفحة بحث تعديل
هذا طروادة يعدل إعدادات منطقة إنترنت إكسبلورر.
تفاصيل أخرى
هذا طروادة يربط على الموقع التالي لإرسال واستقبال المعلومات:
- HTTP: // الممنوع} {aping.ru/form2.php
- HTTP: // الممنوع} {ح mind.info/9/form.php
- HTTP: // الممنوع} {kle.net/9/form.php
- وظائف المعلومات التالية: وضع = {واسطة} وUID = {رمز المستخدم} & OS = {إصدار نظام التشغيل} وOSbit = {OS العمارة} وaff_id = {معرف} وoslang = {اللغة} & بتوقيت جرينتش = {بتوقيت جرينتش} وantidetect = {ملخص المرتبط AV تطبيق}
ملاحظات:
حاليا، لم يكن هناك رد من الملقمات.
وسوف يتم تنفيذ روتين المقصود إذا يتم العثور على الملفات التالية:
- a2guard.exe
- a2service.exe
- avas.exe
- avcom.exe
- avp.exe
- avss.exe
- bdagent.exe
- BullGuard.exe
- cistray.exe
- cmdagent.exe
- dwengine.exe
- dwservice.exe
- jpf.exe
- jpfsrv.exe
- oasrv.exe
- oaui.exe
- op_mon.exe
انه يجمع البيانات التالية:
- UID
- إصدار نظام التشغيل
- العمارة OS (32BIT و/ 64bit) عن
- اللغة الافتراضية
- GMT
- ملخص لتثبيت التطبيقات المتصلة AV
فإنه يستعلم قيمة إدخال التسجيل التالي:
HKEY_LOCAL_MACHINE \ SOFTWARE \ مايكروسوفت \ ويندوز NT \ كرنتفرسون
InstallDate
InstallDate
SOLUTION
الحد الأدنى مسح المحرك:
9.700
الخطوة 1
قبل القيام بأي اجراء الفحوصات، يجب يندوز XP، ويندوز فيستا، ويندوز 7 للمستخدمين تعطيل استعادة النظام للسماح المسح الكامل لأجهزة الكمبيوتر الخاصة بهم.
الخطوة 2
فحص جهاز الكمبيوتر الخاص بك مع المنتج ومذكرة ملفات تريند مايكرو الكشف عن TROJ_KOVTER.SM
الخطوة 3
إعادة التشغيل في الوضع الآمن
• بالنسبة ل نظام التشغيل Windows 2000 المستخدمين
- إعادة تشغيل الكمبيوتر.
- الصحافة F8 عندما تشاهد ببدء تشغيل Windows شريط في أسفل الشاشة.
- اختيار الوضع الآمن خيار من خيارات Windows المتقدمة القائمة ثم اضغط أدخل .
• بالنسبة ل نظام التشغيل Windows XP المستخدمين
- إعادة تشغيل الكمبيوتر.
- الصحافة F8 بعد السلطة على اختبار ذاتي (POST) ويتم روتين. إذا كانت خيارات Windows المتقدمة لا يظهر القائمة، حاول إعادة تشغيل ثم الضغط على F8 عدة مرات عندما ظيفة تظهر شاشة.
- اختيار الوضع الآمن خيار من خيارات Windows المتقدمة القائمة ثم اضغط أدخل .
• ل ويندوز سيرفر 2003 المستخدمين
- إعادة تشغيل الكمبيوتر.
- الصحافة F8 بعد ويندوز يبدأ العمل. إذا كانت خيارات Windows المتقدمة لا يظهر القائمة، حاول إعادة تشغيل مرة أخرى والضغط على F8 عدة مرات بعد ذلك.
- على خيار متقدم ويندوز القائمة، استخدم مفاتيح الأسهم لتحديد الوضع الآمن ثم اضغط أدخل .
• ل ويندوز فيستا ، ويندوز 7 ، و يندوز سيرفر 2008 المستخدمين
- إعادة تشغيل الكمبيوتر.
- الصحافة F8 بعد الانتهاء من السلطة على اختبار ذاتي (POST) روتين. إذا كانت خيارات التمهيد المتقدمة لا يظهر القائمة، حاول إعادة تشغيل ثم الضغط على F8 عدة مرات بعد عرض شاشة POST.
- على خيارات التمهيد المتقدمة القائمة، استخدم مفاتيح الأسهم لتحديد الوضع الآمن الخيار، ثم اضغط أدخل .
• ل ويندوز 8 ، ويندوز 8.1 ، و يندوز خادم 2012 المستخدمين
- الوصول إلى شريط السحر عن طريق تحريك مؤشر الماوس إلى الزاوية اليمنى العليا من الشاشة.
- حرك مؤشر الماوس لأسفل وانقر إعدادات> تغيير إعدادات جهاز الكمبيوتر الخاص بك .
- في اللوحة اليسرى، انقر فوق عام.
- في اللوحة اليمنى، انتقل لأسفل إلى أسفل للعثور على بدء التشغيل المتقدم القسم، ثم انقر على إعادة تشغيل الآن زر وانتظر إلى إعادة تشغيل النظام.
- في بدء التشغيل المتقدمة القائمة، انقر فوق استكشاف الأخطاء وإصلاحها> خيارات متقدمة> إعدادات بدء التشغيل> إعادة تشغيل وانتظر النظام لإعادة تشغيل.
- في إعدادات بدء التشغيل القائمة، اضغط 4 لتمكين الوضع الآمن.
الخطوة 4
حذف قيمة التسجيل هذه
هام: تحرير سجل ويندوز بشكل غير صحيح يمكن أن يؤدي إلى لا رجعة فيه عطل النظام. الرجاء القيام بهذه الخطوة فقط إذا كنت تعرف كيف أو يمكنك أن تطلب المساعدة من مسؤول النظام. آخر، تحقق هذه مقالة Microsoft أولا قبل تعديل التسجيل الكمبيوتر الخاص بك.
- في HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية \ FeatureControl \ FEATURE_BLOCK_INPUT_PROMPTS
- ملف Svchost.exe = "1"
- في HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية \ FeatureControl \ FEATURE_AJAX_CONNECTIONEVENTS
- ملف Svchost.exe = "1"
- في HKEY_LOCAL_MACHINE \ SOFTWARE \ مايكروسوفت \ ويندوز \ كرنتفرسون \ سياسات \ التقييمات
- (افتراضي) = "1"
- في HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ ويندوز \ كرنتفرسون \ إعدادات الإنترنت
- GlobalUserOffline = "0"
الخطوة 5
بحث وحذف ملف الكشف عن TROJ_KOVTER.SM
- بزر الماوس الأيمن فوق ابدأ ثم انقر فوق بحث ... .
- في الاسم مربع الإدخال، اكتب اسم الملف الذي تم الكشف في وقت سابق.
- في بحث في القائمة المنسدلة، حدد جهاز الكمبيوتر ثم اضغط أدخل .
- يقع مرة واحدة، حدد الملف ثم اضغط SHIFT + DELETE لحذفه.
الخطوة 6
إعادة تعيين إعدادات أمان Internet
- إغلاق جميع نوافذ المتصفح الإنترنت.
- فتح لوحة التحكم. للقيام بذلك: • على Windows 2000 انقر فوق ابدأ> إعدادات> لوحة التحكم • في ويندوز إكس بي، خادم 2003، فيستا، و 7 انقر فوق ابدأ> لوحة التحكم
- انقر نقرا مزدوجا فوق خيارات إنترنت .
- في خصائص إنترنت الإطار، انقر فوق علامة التبويب أمان.
- لكل منطقة محتوى ويب، انقر على زر مستوى افتراضي لوضع كل منطقة إلى الإعداد الافتراضي.
- انقر فوق موافق.
خطوة 7
إعادة تعيين إعدادات الخصوصية في الإنترنت:
- إغلاق جميع نوافذ المتصفح الإنترنت.
- فتح لوحة التحكم. للقيام بذلك: • للحصول على Windows 2000، XP، وسيرفر 2003 ، انقر فوق ابدأ> إعدادات> لوحة التحكم • لويندوز فيستا و 7، وسيرفر 2008 (R2) ، انقر فوق ابدأ> لوحة التحكم، ثم انقر فوق الشبكة وإنترنت
- انقر نقرا مزدوجا فوق خيارات إنترنت .
- في خصائص إنترنت الإطار، انقر فوق علامة التبويب الخصوصية.
- انقر على زر Default لتعيين إلى الإعداد الافتراضي.
- انقر فوق موافق.
الخطوة 8
إعادة تشغيل في الوضع العادي وفحص جهاز الكمبيوتر الخاص بك مع تريند مايكرو المنتج الخاص بك لملفات الكشف عن TROJ_KOVTER.SM. إذا تم بالفعل تنظيف الملفات المكتشفة، أو حذفه أو عزله من تريند مايكرو المنتج الخاص بك، لا يلزم خطوة أخرى.