Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Rogue.kdv.640189
Descoperit pe data de:03/07/2012
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Marime:94.720 Bytes
MD5:C142F7941922369C46E948FF508F67CE
Versiune VDF:7.11.34.246 - marți, 3 iulie 2012
Versiune IVDF:7.11.34.246 - marți, 3 iulie 2012

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
   •  Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
   •  DrWeb: Trojan.DownLoader6.13798


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\KB00027502.exe

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\POS1.tmp Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
– [HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Backdoor Servere contactate:
Unul dintre:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • %WINDIR%\Explorer.EXE


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Daniel Mocanu on Wednesday, August 8, 2012
Description updated by Daniel Mocanu on Wednesday, August 8, 2012

Back . . . .