Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Kazy.15063.2
Descoperit pe data de:10/03/2011
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:168.448 Bytes
MD5:CAA13B954C5EE65AB5F6567F7AADE746
Versiune VDF:7.10.09.149
Versiune IVDF:7.11.04.163 - joi, 10 martie 2011

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Gbot.aeg
   •  TrendMicro: BKDR_CYCBOT.SMX
     Microsoft: Backdoor:Win32/Cycbot.B


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\Microsoft\conhost.exe



Este creat fisierul:

%APPDATA%\Microsoft\stor.cfg

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%APPDATA%\Microsoft\conhost.exe"



Se adauga in registrii sistemului:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "ProxyServer"="http=127.0.0.1:50370"



Urmatoarele chei din registri sunt modificate:

[HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyEnable"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyEnable"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyEnable"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyEnable"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "ProxyEnable"=dword:00000001

 Backdoor Deschide portul

%fisier executat% pe portul TCP 50370 pentru a functiona ca server proxy.


Servere contactate:
Urmatoarele:
   • **********andandbarrett.com/images/footer/account.gif?v59=39&tq=gH**********
   • **********etf.com/index.html?tq=gK**********


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Monday, October 24, 2011
Description updated by Andrei Ivanes on Friday, October 28, 2011

Back . . . .