Description complète

Nume:	TR/Scar.aywk
Descoperit pe data de:	20/12/2009
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	66.560 Bytes
MD5:	13de040017144a6276172d08bfd1e7f4
Versiune IVDF:	7.10.02.23 - dimanche 20 décembre 2009

General Metoda de raspandire:
   • Functia autorun

Alias:
   • Mcafee: W32/Slenping
   • Panda: W32/OscarBot.XY
   • Eset: Win32/AutoRun.IRCBot.CX
   • Bitdefender: Worm.Pushbot.G

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\Application Data\afd.exe
   • %unitate disc%\Folder\SubFolder\file.exe

Sunt create fisierele:

– %unitate disc%\Folder\SubFolder\Desktop.ini
– %unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%fisier executat%"="%fisier executat%:*:Enabled:Cftmon32"

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: one.af**********.com
Port: 22
Canal: #!stdin
Nick: [USA|00|P|%numar%]

Backdoor Deschide portul

– freebieslounge.com pe portul UDP 44500

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le mardi 16 mars 2010
Description mise à jour par Petre Galan le mardi 16 mars 2010

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils