Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Kazy.100152.7
Descoperit pe data de:17/10/2012
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:272896 Bytes
MD5:0df3a52b7a304b6d5ec932f0d3e21d0b
Versiune VDF:7.11.46.124 - miercuri, 17 octombrie 2012
Versiune IVDF:7.11.46.124 - miercuri, 17 octombrie 2012

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Sistem de operare:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Poate fi utilizat pentru a executa cod malitios
   • Poate fi folosit de malware pentru a reduce nivelul de securitate
   • Poate fi folosit pentru a modifica setari ale sistemului care permit sau amplifica un potential comportament malware.
   • Creeaza un fisier malware

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\appatch\%sir de 6 caractere aleatoare%.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"
   • "run"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sir de 6 caractere aleatoare%.exe,"
   • "System"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"

 Backdoor Servere contactate:
Urmatoarele:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


Description inserted by Elias Lan on Sunday, October 21, 2012
Description updated by Elias Lan on Sunday, October 21, 2012

Back . . . .