病毒:TR/Kazy.100147.3
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:
文件大小:308224 字节
MD5 校检和:2498cb88ebfdf2f8a19a692948a9c415
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


平台/操作系统:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 可用于执行恶意代码
   • 被恶意用户或恶意软件用来降低安全设置
   • 被用于修改系统设置,允许或扩大潜在的恶意行为。
   • 植入恶意文件

 文件 它将本身复制到以下位置:
   • %WINDIR%\appatch\%六位数的随机字符串%.exe

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"



会添加以下注册表项目注册值:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"
   • "run"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   旧值:
   • "userinit"="%SYSDIR%\userinit.exe
   新值:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%六位数的随机字符串%.exe,"
   • "System"="%WINDIR%\apppatch\%六位数的随机字符串%.exe"

 后门程序 访问服务器:
以下所有内容:
   • cih**********.eu
   • nope**********.eu
   • vofo**********.eu
   • qeqi**********.eu
   • foda**********.eu
   • gate**********.eu
   • digi**********.eu
   • lyve**********eu
   • mar**********.eu
   • ryna**********.eu
   • voc**********.eu
   • tucy**********.eu
   • ...


Description inserted by Elias Lan on zondag 21 oktober 2012
Description updated by Elias Lan on zondag 21 oktober 2012

Terug . . . .

© 2013 Avira Operations GmbH & Co. KG. Alle rechten voorbehouden.

Mijn Account

https:// Dit venster is voor uw veiligheid gecodeerd.