PCの修理が必要ですか?
専門家に頼む
Nume:TR/PSW.Magania.cvlv
Descoperit pe data de:21/02/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:92.160 Bytes
MD5:ffab4b224a1bcf0f43a724fd91ea6c0f
Versiune IVDF:7.10.04.107 - 2010年2月20日土曜日

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Gamania.MH
   •  Eset: Win32/PSW.OnLineGames.NWF
   •  Bitdefender: Trojan.Generic.3219068


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\qw6t0mpm.exe
   • %TEMPDIR%\xvassdf.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\4tddfwq0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Agent.87040.2




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.yahoosd3.com/1rb/**********




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe"

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "54dfsger"="%TEMPDIR%\xvassdf.exe"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:0x00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000000

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %TEMPDIR%\4tddfwq0.dll

    Numele procesului:
   • explorer.exe



– Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • iexplore.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

説明の挿入者 Petre Galan の 2010年4月7日水曜日
説明の更新者 Petre Galan の 2010年4月8日木曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。