病毒:TR/Flamer.A
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:6.166.528 字节
MD5 校检和:BDC9E04388BDA8527B398A8C34667E18
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 电子邮件
   • 局域网络


别名:
   •  Kaspersky: Worm.Win32.Flame.A
   •  TrendMicro: WORM_FLAMER.A
   •  F-Secure: Trojan.Flame.A
   •  Bitdefender: Trojan.Flame.A
   •  Eset: Win32/Flamer.A
   •  GData: Trojan.Flame.A
   •  DrWeb: Win32.HLLW.Flame.1


平台/操作系统:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 可用于执行恶意代码
   • 植入恶意文件
   • 记录按键
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\wavesup3.drv



创建以下文件:

– 非恶意文件:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\audcache
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\audfilter.dat
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\lmcache.dat
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\ntcache.dat
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\dstrlog.dat

– %SYSDIR%\nteps32.ocx 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Flame.A

– %SYSDIR%\advnetcfg.ocx 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: TR/Flamer.A.4

– %SYSDIR%\msglu32.ocx 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: TR/Flame.B

– %SYSDIR%\soapr32.ocx 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: TR/Flamer.A.5

– %SYSDIR%\boot32drv.sys 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: TR/Flamer.A.7

– %SYSDIR%\ccalc32.sys 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: TR/Flamer.A.8

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
   • "wave9"="%PROGRAM FILES%\Common Files\Microsoft Shared\MSAudio\wavesup3.drv"

Description inserted by Eric Burk on dinsdag 29 mei 2012
Description updated by Eric Burk on woensdag 30 mei 2012

Terug . . . .

© 2013 Avira Operations GmbH & Co. KG. Alle rechten voorbehouden.

Mijn Account

https:// Dit venster is voor uw veiligheid gecodeerd.