# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Новый тип Backdoor.Agent

## Зайцев Олег

Сегодня  обнаружен новый вид Backdoor.Agent. 
Файл имеет длинну 59904 байта и имя qwe1316.dll. 
По структуре файл является BHO для Internet Explorer, его CLSID в реестре - {CF021F40-3E14-23A5-CBA2-717177651316}&#039;. Антивирусы его пока не детектируют ...

Кроме  qwe1316.dll на диске можно обнаружить qwe1316.ini и qwe1316.tmp (они создаются qwe1316.dll при запуске). 
Визуального проявления qwe1316.dll не имеет, стартует при запуске браузера и работает в его контексте (как, собственно, и положено BHO) - при анализе процесса iexplorer.exe ожно видеть эту DLL в писке библиотек, загруженных процессом.

Обновление AVZ от 26.11.2004 ловит это безобразие - http://z-oleg.com/secur/avz/avz-26112004.zip

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

Кроме  qwe1316.dll у себя нашел qwe??72.dll

? - не помню точной цифры...

----------


## Geser

> Кроме  qwe1316.dll у себя нашел qwe??72.dll
> 
> ? - не помню точной цифры...


Если не удалили, то пришлите нам [email protected]

----------


## Зайцев Олег

И еще стоит в реестре посмотреть - нет ли там частом ключика {CF021F40-3E14-23A5-CBA2-717177651316} ?? Я становил, что он не меняется от версии к версии. Если он есть в реестре, то это точно Backdoor.Agent (и я присоединяюсь к просьбе 
Geser-а - если можно, копию файлика на [email protected] нам для анализа)

----------

Ваш AVZ пишет, что не может его удалить???

----------


## Зайцев Олег

[quote author=Кирилл link=board=4;threadid=301;start=0#msg2691 date=1102405570]
Ваш AVZ пишет, что не может его удалить???
[/quote]
А перезагрузку он затребовал ? Если да, то после перезагрузки он его может добить

----------

Он просит перезагрузку, нео при этом не выдает никаких сообщений более.
Мне нужно закрыть программу, перезапустить комп, а потом открыть заново и опять проверить?

----------


## Зайцев Олег

[quote author=Кирилл link=board=4;threadid=301;start=0#msg2693 date=1102406235]
Он просит перезагрузку, нео при этом не выдает никаких сообщений более.
Мне нужно закрыть программу, перезапустить комп, а потом открыть заново и опять проверить?
[/quote]
Именно так - при повторном сканировании (после перезагрузки он найдет и уничтожит этот Backdoor

----------

Перезагружаю. Все равно пишет "ошибка удаления - перезагрузите".
Может надо в безопасном режиме?
Или как?

----------


## Geser

Его же проблема удалить. Нужно сначала ключики почистить в реестре.

----------

