Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Injector.LO
Descoperit pe data de:25/04/2012
Tip:Troian
ITW:Nu
Numar infectii raportate:Ridicat
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:67.072 Bytes
MD5:b2b0c8d66ef083810Bcf5f54e15ee806
Versiune VDF:7.11.28.152
Versiune IVDF:7.11.28.152

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan.Win32.Inject.dzsp
   •  Grisoft: SHeur4.AAYW
   •  Eset: Win32/Trustezeb.A
   •  GData: Trojan.Injector.ADI
   •  Norman: Trojan W32/Suspicious_Gen4.ACYPJ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %APPDATA%\Realtec\Realtecdriver.exe
   • %APPDATA%\Qvmh\C10199CBD8812EB1F92D.exe
   • %TEMP%\%sir de 10 caractere aleatoare%.pre
   • %SYSDIR%\3E5D1393D8812EB16C61.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Realtecdriver"="%APPDATA\Realtec\Realtecdriver.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\3E5D1393D8812EB16C61.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%APPDATA\Qvmh\C10199CBD8812EB1F92D.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%sir de 10 caractere aleatoare%.pre;"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=lfk&data=uJXbykvbhoZH1VxnSk0wIYg6TtL2zhzZ


Event handler:
Creeaza urmatoarele Event handlere:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Beschrijving ingevoegd door Wensin Lee op donderdag 26 april 2012
Beschrijving bijgewerkt door Matthias Schlindwein op donderdag 26 april 2012

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.