Need help? Ask the community or hire an expert.
Go to Avira Answers
类型:应用程序
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:

 况概描述 APPL/ - 应用程序

nn此类检测会指出不当使用的应用程序或者具有可能企图损坏或削弱本地系统、远程系统或网络等基础设施的应用程序。 这是合法的应用程序,用于提取受保护的信息、远程控制局域网计算机、修改该机系统设置或者执行高级操作系统或者网络功能。

nn此类检测结果并非意味着文件就是恶意软件。 但如果该文件在用户不知情的情况下进入用户的系统,系统的安全性可能会遭到破坏。

nn关闭此项检测的功能,只建议于了解存在的风险和如何使用这些应用程序的高级用户
传播方法:
   • 无内置传播例程


别名:
   •  Sophos: Troj/Hupigon-TB
   •  Bitdefender: Gen:Adware.Heur.em0@YjBXfPz
   •  Eset: a variant of Win32/DownloadSponsor.A
   •  DrWeb: Trojan.DownLoader.20246


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 下载文件
   • 植入文件

 文件 创建以下文件:

– %TEMPDIR%\OCS\ICSharpCode.SharpZipLib.dll
– %TEMPDIR%\OCS\ocs_v6c.exe 成功创建后,它会被执行。
– %TEMPDIR%\qsxpopzsrfnigcvi.dat



它会尝试下载一些文件:

– 该位置如下所示:
   • http://dow**********ns/pcspeedup.exe
它会保存在硬盘驱动器以下的位置: %TEMPDIR%\OCS\Downloads\0674e23d6502b36621d489f1b4fbd22a\10806ff987a45c60eaa975e4aab3d1a1\pcspeedup.exe 成功下载后执行。

– 该位置如下所示:
   • http://down**********FreeAudioConverter.exe?tb=hjkla29KK
它会保存在硬盘驱动器以下的位置: %TEMPDIR%\OCS\Downloads\0674e23d6502b36621d489f1b4fbd22a\c65d115629ae5d7bcb133463b628fbd1\FreeAudioConverter.exe 成功下载后执行。

 注册表 会添加以下注册表项目注册值:

– [HKCU\Software\OCS]
   • "CID"="69b3cfcc-e70b-4ddb-b87e-5088fb54ae45"
   • "PID"="freewarede"
   • "lastPID"="freewarede"
   • "lastSID"="02af884e-e41f-4561-a434-da5f27273695"

 后门程序 访问服务器:
以下某项内容:
   • http://download-**********0446F776E6C6F61642066726F6D206
   • http://www.download-spons**********ifyer=%5BUID%5D
   • http://download**********n-v2.png
   • http://download**********cspeedup.exe
   • http://download2**********eAudioConverter.exe?tb=hjkla29KK
   • http://in.get**********c&href=#Installer
   • http://in.ge**********DF-0973777A88F0&custom
   • http://in.getc**********8F0&custom[serviceStart
   • http://in.getclic**********8F0&custom[serviceRunni
   • http://startup.pcsp**********6A9-B8DF-0973777A88F0
   • http://link.pcsp**********?aff_id=2094


Beschrijving ingevoegd door Elias Lan op zaterdag 2 maart 2013
Beschrijving bijgewerkt door Elias Lan op zaterdag 2 maart 2013

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.