Full description

Nume:	TR/Fotomoto.F.1
Descoperit pe data de:	07/11/2007
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	71.232 Bytes
MD5:	d724dfe9790E373d1b92b3a35c1d0E49
Versiune IVDF:	7.00.00.182 - quarta-feira, 7 de novembro de 2007

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: Vundo.dr trojan
   • Kaspersky: Trojan.Win32.Obfuscated.kp
   • F-Secure: Trojan.Win32.Obfuscated.kp
   • Panda: Spyware/Virtumonde
   • Grisoft: Obfustat.VUL
   • Eset: Win32/Adware.Ezula application

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directorul de activare malware%\%fisier executat% \service"
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"= %valori hex%
   • "Description"="DomainService"

Valoarea urmatoarei chei este stearsa din registri:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directorul de activare malware%\\%fisier
      executat%"="%directorul de activare malware%\\%fisier
      executat%:"

Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\DomainService]

Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "SFCDisable" = 0
   Noua valoare:
   • "SFCDisable" = 4

Backdoor Servere contactate:
Urmatoarele:
   • http://24.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php

Trimte informatii despre:
    • Statusul actual al malware-ului

Posibilitati de control la distanta:
    • descarcare fisier
    • Vizitarea unui website

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPolyX v0.5

Descrição enviada por Thomas Wegele em sexta-feira, 7 de dezembro de 2007
Descrição atualizada por Thomas Wegele em sexta-feira, 7 de dezembro de 2007

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas