Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Scar.cfmv
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:575.488 字节
MD5 校检和:65feb504a274110a513dce6d1b6a640d
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能


别名:
   •  Bitdefender: Trojan.Generic.4010642
   •  Panda: Trj/Thed.V


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %驱动器%\%执行的文件%
   • %ALLUSERSPROFILE%\Application Data\srtserv\%执行的文件%



创建以下文件:

%驱动器%\aUtoRuN.iNF 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %ALLUSERSPROFILE%\Application Data\srtserv\sdata.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.hdf

– %ALLUSERSPROFILE%\Application Data\srtserv\set.dat



它会尝试下载一些文件:

– 这些位置如下所示:
   • http://psynergi.dk/data/**********
   • http://kubusse.ru/data/**********
   • http://s-elisa.ru/data/**********
   • http://eda.ru/data/**********


– 这些位置如下所示:
   • http://vesterm.freehostia.com/**********
   • http://6cb498fe.freehostia.com/**********
   • http://c7e1c722.110mb.com/**********
   • http://ef1b7dc6.x10hosting.com/**********




它会尝试执行以下文件:

– 文件名:
   • "%ALLUSERSPROFILE%\Application Data\srtserv\%执行的文件%" -wait

 注册表 会删除以下注册表项的注册值:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • srtserv

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • srtserv



会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn]
   • "value1"="%执行的文件%"
   • "value2"=dword:0x000007d4

 其他 访问 Internet 资源:
   • http://vesterm.freehostia.com
   • http://psynergi.dk/data
   • http://kubusse.ru/data
   • http://s-elisa.ru/data
   • http://eda.ru/data
   • http://psynergi.dk/data
   • http://pushnik.freehostia.com


Mutex:
它会创建以下 Mutex:
   • YCS0mRtQ316
   • KAENA_HOOK

 文件详细信息 编程语言:
该恶意软件程序是用 Delphi 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan   2010년 11월 19일 금요일
설명 업데이트 Petre Galan   2010년 11월 19일 금요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.