Full description

病毒:	TR/Scar.cfmv
发现日期:	13/12/2012
类型:	特洛伊木马
广泛传播:	是
病毒传播个案呈报：	低程度至中程度
感染/传播能力：	低程度至中程度
破坏 / 损害程度：	低程度至中程度
静态文件:	是
文件大小:	575.488 字节
MD5 校检和:	65feb504a274110a513dce6d1b6a640d
VDF 版本:	7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:	7.11.53.216 - 2012년 12월 13일 목요일

况概描述 传播方法:
   • 视窗自动运行Autorun功能

别名:
   • Bitdefender: Trojan.Generic.4010642
   • Panda: Trj/Thed.V

平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003

副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

文件它将本身复制到以下位置:
   • %驱动器%\%执行的文件%
   • %ALLUSERSPROFILE%\Application Data\srtserv\%执行的文件%

创建以下文件:

– %驱动器%\aUtoRuN.iNF 这是一个无恶意的文本文件，包含以下内容:
   • %运行恶意软件代码%

– %ALLUSERSPROFILE%\Application Data\srtserv\sdata.dll 进一步的调查表明，此文件是恶意软件。检测为: Worm/Autorun.hdf

– %ALLUSERSPROFILE%\Application Data\srtserv\set.dat

它会尝试下载一些文件:

– 这些位置如下所示:
   • http://psynergi.dk/data/**********
   • http://kubusse.ru/data/**********
   • http://s-elisa.ru/data/**********
   • http://eda.ru/data/**********

– 这些位置如下所示:
   • http://vesterm.freehostia.com/**********
   • http://6cb498fe.freehostia.com/**********
   • http://c7e1c722.110mb.com/**********
   • http://ef1b7dc6.x10hosting.com/**********

它会尝试执行以下文件:

– 文件名:
   • "%ALLUSERSPROFILE%\Application Data\srtserv\%执行的文件%" -wait

注册表会删除以下注册表项的注册值:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • srtserv

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • srtserv

会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn]
   • "value1"="%执行的文件%"
   • "value2"=dword:0x000007d4

其他访问 Internet 资源：
   • http://vesterm.freehostia.com
   • http://psynergi.dk/data
   • http://kubusse.ru/data
   • http://s-elisa.ru/data
   • http://eda.ru/data
   • http://psynergi.dk/data
   • http://pushnik.freehostia.com

Mutex:
它会创建以下 Mutex:
   • YCS0mRtQ316
   • KAENA_HOOK

文件详细信息 编程语言:
该恶意软件程序是用 Delphi 编写的。

运行时压缩程序:
为了提高检测难度以及减小文件，它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan 2010년 11월 19일 금요일
설명 업데이트 Petre Galan 2010년 11월 19일 금요일

뒤로 . . . .

내 계정