Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Drop.TDss.akfb
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:低程度至中程度
文件大小:58.888 字节
MD5 校检和:60184EE7316CFC9F734CF9713FD76361
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 网络驱动器映射


别名:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Trojan-Dropper.Win32.TDSS.akfb
   •  TrendMicro: TROJ_KRYPTO.SMII
   •  Microsoft: Worm:Win32/Rorpian


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 植入文件
   • 注册表修改

 文件 它会删除其本身最初执行的副本。



创建以下文件:

– %TEMPDIR%\srv%十六进制数%.tmp 进一步的调查表明,此文件是恶意软件。 检测为: TR/Drop.TDss.akfb

– %TEMPDIR%\srv%十六进制数%.ini 包含由恶意软件使用的参数。



它会尝试下载文件:

– 该位置如下所示:
   • http://web-soft2011pc.**********/soft/installer_m_161.exe
它会保存在硬盘驱动器以下的位置: %TEMPDIR%\%数字%.tmp 撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\ControlSet001\Services\srv%十六进制数%]
   • "Type"=dword:00000014
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "DisplayName"="srv%十六进制数%"
   • "ObjectName"="LocalSystem"



会添加以下注册表项目注册值:

– [HKLM\SYSTEM\ControlSet001\Services\srv%十六进制数%\
   parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\Documents and Settings\%当前用户名%\Local Settings\Temp\srv%十六进制数%.tmp"

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Andrei Ilie   2011년 8월 1일 월요일
설명 업데이트 Andrei Ilie   2011년 8월 3일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.