Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Scar.apqx
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:43.008 字节
MD5 校检和:5cdef39df4850fe9d241490fe4305df2
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 别名:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %驱动器%\windows\ld15.exe



它会删除其本身最初执行的副本。



删除以下文件:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %驱动器%\3.reg
   • %恶意软件执行目录%\df1a245s4_1592.exe
   • %恶意软件执行目录%\SelfDel.bat
   • %恶意软件执行目录%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %驱动器%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %驱动器%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



创建以下文件:

%驱动器%\3.reg 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

%恶意软件执行目录%\df1a245s4_1592.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\010112010146100109.xxe
– %TEMPDIR%\zpskon_1270682172.exe 进一步的调查表明,此文件是恶意软件。 检测为: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\010112010146115119.xxe
– %HOME%\Local Settings\Application Data\rdr_1270658517.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/Dropper.Gen

%驱动器%\windows\bill106.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/Dropper.Gen

%恶意软件执行目录%\SelfDel.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。
– %SYSDIR%\drivers\etc\hosts
– %TEMPDIR%\zpskon_1270677929.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/Dropper.Gen

– %WINDIR%\fdgg34353edfgdfdf
%驱动器%\windows\bk23567.dat
– %HOME%\Local Settings\Application Data\0101120101465198.xxe
%驱动器%\h.tmp
– %WINDIR%\dxxdv34567.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。
– %PROGRAM FILES%\webserver\webserver.exe 进一步的调查表明,此文件是恶意软件。 检测为: BDS/Backdoor.Gen

%恶意软件执行目录%\sd.dat
– %TEMPDIR%\captcha.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。
– %SYSDIR%\captcha.dll
– %TEMPDIR%\zpskon_1270669724.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/ATRAPS.Gen

%驱动器%\1.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。



它会尝试下载一些文件:

– 这些位置如下所示:
   • http://banmismokingban.com/**********/?action=%字符串%&v=%数字%
   • http://uuviet.toila.net/**********/?action=%字符串%&v=%数字%
   • http://prospect-m.ru/**********/?action=%字符串%&v=%数字%
   • http://glyk.ch/**********/?action=%字符串%&v=%数字%
   • http://sindhpk.com/**********/?action=%字符串%&v=%数字%
   • http://www.smoketrend.de/**********/?action=%字符串%&v=%数字%
   • http://rabadanmakeupartist.com/**********/?action=%字符串%&v=%数字%
   • http://www.friesen-research.com/**********/?action=%字符串%&v=%数字%
   • http://azfatso.org/**********/?action=%字符串%&v=%数字%
   • http://lineaidea.it/**********/?action=%字符串%&v=%数字%
   • http://mysex.co.il/**********/?action=%字符串%&v=%数字%
   • http://daveshieldsmedia.com/**********/?action=%字符串%&v=%数字%
   • http://kingdom-shakers.com/**********/?action=%字符串%&v=%数字%
   • http://www.eurostandart.biz/**********/?action=%字符串%&v=%数字%
   • http://drpaulaprice.com/**********/?action=%字符串%&v=%数字%
   • http://eurorot.com/**********/?action=%字符串%&v=%数字%
   • http://rowanhenderson.com/**********/?action=%字符串%&v=%数字%
   • http://sigmai.co.il/**********/?action=%字符串%&v=%数字%
   • http://anlaegkp.dk/**********/?action=%字符串%&v=%数字%
   • http://inartdesigns.com/**********/?action=%字符串%&v=%数字%
   • http://inartdesigns.com/**********/?action=%字符串%&ff=%数字%&a=%数字%&v=%数字%&l=%数字%&c_fb=%数字%&c_ms=%数字%&c_hi=%数字%&c_tw=%数字%&c_be=%数字%&c_tg=%数字%&c_nl=%数字%&iedef=%数字%
   • http://mdcoc.net/**********/?getexe=%字符串%
   • http://www.idif.it/**********/?action=%字符串%&v=%数字%&crc=%数字%
   • http://www.idif.it/**********/?action=%字符串%&a=%数字%&v=%数字%&c_fb=%数字%&ie=%字符串%
   • http://www.person.doae.go.th/**********/?getexe=%字符串%
   • http://www.person.doae.go.th/**********/?getexe=%字符串%
   • http://www.person.doae.go.th/**********/?getexe=%字符串%
   • http://www.person.doae.go.th/**********/?getexe=%字符串%
   • http://amazingpets.org/**********/?action=%字符串%&v=%数字%&crc=%数字%
   • http://amazingpets.org/**********/?action=%字符串%&mode=%字符串%&age=%数字%&a=%数字%&v=%数字%&c_fb=%数字%&ie=%字符串%


– 该位置如下所示:
   • http://insta-find.com/adm/**********


– 该位置如下所示:
   • http://u07012010u.com/**********/?uptime=%数字%&v=%数字%&sub=%数字%&ping=%数字%&proxy=%数字%&hits=%数字%&noref=%数字%&port=%数字%




它会尝试执行以下文件:

– 文件名:
   • %WINDIR%\ld15.exe


– 文件名:
   • %TEMPDIR%\\zpskon_1270669724.exe


– 文件名:
   • cmd /c c:\1.bat


– 文件名:
   • zpskon_12706697


– 文件名:
   • %TEMPDIR%\\zpskon_1270677929.exe


– 文件名:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


– 文件名:
   • %TEMPDIR%\zpskon_1270677929.exe


– 文件名:
   • %TEMPDIR%\\zpskon_1270682172.exe


– 文件名:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


– 文件名:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


– 文件名:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– 文件名:
   • cmd /c %WINDIR%\dxxdv34567.bat


– 文件名:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


– 文件名:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


– 文件名:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


– 文件名:
   • rundll32 captcha,ServiceMain


– 文件名:
   • regedit /s c:\2.reg


– 文件名:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


– 文件名:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– 文件名:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– 文件名:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


– 文件名:
   • sc start "webserver"


– 文件名:
   • df1a245s4_1592.exe


– 文件名:
   • cmd /c SelfDel.bat


– 文件名:
   • %恶意软件执行目录%\df1a245s4_1592.exe


– 文件名:
   • %WINDIR%\bill106.exe


– 文件名:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


– 文件名:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


– 文件名:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


– 文件名:
   • cmd /c "%temp%\captcha.bat"


– 文件名:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   新值:
   • "Port"=dword:0x000003ea

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   新值:
   • "captcha"="captcha"

 主机 会按如下所述对主机文件进行修改:

– 对以下域名的访问重定向到另一地址:
   • 85.13.206.115 u07012010u.com


 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan   2010년 4월 12일 월요일
설명 업데이트 Petre Galan   2010년 4월 12일 월요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.