Nume:TR/Hosts.AQ.1
Descoperit pe data de:09/08/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:2.724.864 Bytes
MD5:575cb9dd8434d2e074ba24a63ac51b25
Versiune IVDF:7.10.10.121 - Montag, 9. August 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Sistem de operare:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Creeaza un fisier
   • Creeaza fisiere malware
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Modifica urmatorul fisier:
   • %SYSDIR%\drivers\etc\hosts



Copiaza fisierul:
    •  %SYSDIR%\drivers\etc\hosts în %SYSDIR%\drivers\etc\hosts_new



Sterge copia initiala a virusului.



Sunt create fisierele:

– %ALLUSERSPROFILE%\Application Data\%director ales aleator%\%combinatie de caractere aleatoare%.cfg Fisierul este executat dupa ce a fost creat. Acesta este un fisier curat, care contine informatii despre programul in sine.
– %SYSDIR%\drivers\etc\hosts_new

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Internet Explorer]
   Noua valoare:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este redirectionat catre alte destinatii:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 13. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Freitag, 13. August 2010

zurück . . . .