Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/FakeSysdef.A.873
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:478.720 字节
MD5 校检和:5AA0177803695290BCA22BCE79802845
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  TrendMicro: TROJ_KRYPTO.SMIN
   •  Sophos: Mal/FakeAV-LS
   •  Microsoft: Trojan:Win32/FakeSysdef


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 植入文件
   • 存心误报恶意软件感染或系统问题,并向用户提呈购买修复程序的建议。
   • 降低系统安全设置
   • 注册表修改
   • Pricetrap 功能 - 用户被诱骗购买昂贵的订阅


执行完毕之后会显示以下信息:





 文件 它将本身复制到以下位置:
   • %ALLUSERSPROFILE%\Application Data\%随机字符串%.exe



它会重命名以下文件:

    •  %ALLUSERSPROFILE%\Start Menu\%所有子目录% 进入 %TEMPDIR%\smtmp\1\*
    •  %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* 进入 %TEMPDIR%\smtmp\2\*



它会删除其本身最初执行的副本。



创建以下文件:

– %ALLUSERSPROFILE%\Application Data\%数字%.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/FakeSysdef.A.1023

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="%ALLUSERSPROFILE%\Application Data\%随机字符串%.exe"



会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 其他 访问 Internet 资源:
   • http://**********ckfer.org/pica1/531-direct
   • http://**********dconsonant.org/pica1/516-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • http://**********rchbeen.org/404.php?type=stats&affid=531&subid=02&awok
   • http://**********rchbottle.org/pica1/516-direct
   • http://**********rchbowl.org/pica1/531-direct


Mutex:
它会创建以下 Mutex:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Beschrijving ingevoegd door Andrei Ilie op vrijdag 26 augustus 2011
Beschrijving bijgewerkt door Andrei Ilie op donderdag 1 september 2011

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.