Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Crypt.Gypikon.A.9
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:52.224 字节
MD5 校检和:8950aecc4d90c7cc4c4b8e79b6a96260
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 注册表修改


执行完毕之后会显示以下信息:


 文件 它将本身复制到以下位置:
   • %APPDATA%\Jmndi\7D7C52F4D8812EB11AC8.exe
   • %TEMP%\%10 位数的随机字符串%.pre
   • %SYSDIR%\AEA7B643D8812EB12BFE.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%10 位数的随机字符串%.pre;"

 注入进程 – 它会将自己注入到进程中。

 其他 互联网连接:
为了检查互联网连接,会访问以下 DNS 服务器:
   • http://**********-a.com/**********.php?id=**********434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=**********41564549&cmd=lfk&data=**********30WIIsfb#XNyxX5No#hQg0%2Bl85I9m0VmEP2IpcA
   •


事件处理程序 (Event Handler):
它会创建事件处理程序:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 文件详细信息 编程语言:
该恶意软件程序是用 Delphi 编写的。

설명 삽입자 Wensin Lee   2012년 5월 4일 금요일
설명 업데이트 Wensin Lee   2012년 5월 4일 금요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.