Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Yakes.ajw
Descoperit pe data de:29/06/2011
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.176 Bytes
MD5:84912A4480E54ACC70D33084BA9C3A99
Versiune VDF:7.11.10.166 - miercuri, 29 iunie 2011
Versiune IVDF:7.11.10.166 - miercuri, 29 iunie 2011

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Sophos: Mal/EncPk-AAG
   •  Microsoft: Worm:Win32/Autorun.ABO


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svrwsc.exe



Este creat fisierul:

%TEMPDIR%\Low%valori hex%.tmp.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""

 Backdoor Servere contactate:
Urmatorul:
   • etrademone.**********/point/forum/index.php

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Thursday, September 22, 2011
Description updated by Andrei Ilie on Friday, September 30, 2011

Back . . . .