Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Kazy.100152.7
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:
文件大小:272896 字节
MD5 校检和:0df3a52b7a304b6d5ec932f0d3e21d0b
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


平台/操作系统:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 可用于执行恶意代码
   • 被恶意用户或恶意软件用来降低安全设置
   • 被用于修改系统设置,允许或扩大潜在的恶意行为。
   • 植入恶意文件

 文件 它将本身复制到以下位置:
   • %WINDIR%\appatch\%六位数的随机字符串%.exe

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"
   • "run"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   旧值:
   • "userinit"="%SYSDIR%\userinit.exe
   新值:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%六位数的随机字符串%.exe,"
   • "System"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"

 后门程序 访问服务器:
以下所有内容:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


설명 삽입자 Elias Lan   2012년 10월 21일 일요일
설명 업데이트 Elias Lan   2012년 10월 21일 일요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.