Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Yakes.li
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:51.200 字节
MD5 校检和:A5423C14D3E1BD10791A7B1DA79AE8F5
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 视窗自动运行Autorun功能


别名:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.Yakes.li
   •  Microsoft: Worm:Win32/Autorun.ABO


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 第三方控件
   • 植入文件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %SYSDIR%\svrwsc.exe



创建以下文件:

– %TEMPDIR%\Low%十六进制值%.tmp.bat 此批处理文件用于删除文件。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

 后门程序 访问服务器:
以下内容:
   • etrademone.**********/point/forum/index.php

因此它可能会发送信息并提供远程控制。

 注入进程 – 它将自己作为远程线程注入到进程中。

    以下所有进程:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   如果成功,该恶意软件进程会终止运行,但是其注入的部分仍保持活动状态。

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Andrei Ilie op maandag 1 augustus 2011
Beschrijving bijgewerkt door Andrei Ilie op woensdag 3 augustus 2011

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.