Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Yakes.li
Descoperit pe data de:14/06/2011
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:51.200 Bytes
MD5:A5423C14D3E1BD10791A7B1DA79AE8F5
Versiune VDF:7.11.09.168 - marți, 14 iunie 2011
Versiune IVDF:7.11.09.168 - marți, 14 iunie 2011

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.Yakes.li
   •  Microsoft: Worm:Win32/Autorun.ABO


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svrwsc.exe



Este creat fisierul:

%TEMPDIR%\Low%valori hex%.tmp.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

 Backdoor Servere contactate:
Urmatorul:
   • etrademone.**********/point/forum/index.php

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Monday, August 1, 2011
Description updated by Andrei Ilie on Wednesday, August 3, 2011

Back . . . .