Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
Nume:TR/Kazy.100147.3
Descoperit pe data de:16/10/2012
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:308224 Bytes
MD5:2498cb88ebfdf2f8a19a692948a9c415
Versiune VDF:7.11.46.82 - marți, 16 octombrie 2012
Versiune IVDF:7.11.46.82 - marți, 16 octombrie 2012

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Sistem de operare:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Poate fi utilizat pentru a executa cod malitios
   • Poate fi folosit de malware pentru a reduce nivelul de securitate
   • Poate fi folosit pentru a modifica setari ale sistemului care permit sau amplifica un potential comportament malware.
   • Creeaza un fisier malware

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\appatch\%sir de 6 caractere aleatoare%.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"
   • "run"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "userinit"="%SYSDIR%\userinit.exe
   Noua valoare:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sir de 6 caractere aleatoare%.exe,"
   • "System"="%WINDIR%\apppatch\%sir de 6 caractere aleatoare%.exe"

 Backdoor Servere contactate:
Urmatoarele:
   • cih**********.eu
   • nope**********.eu
   • vofo**********.eu
   • qeqi**********.eu
   • foda**********.eu
   • gate**********.eu
   • digi**********.eu
   • lyve**********eu
   • mar**********.eu
   • ryna**********.eu
   • voc**********.eu
   • tucy**********.eu
   • ...


Descrição enviada por Elias Lan em domingo, 21 de outubro de 2012
Descrição atualizada por Elias Lan em domingo, 21 de outubro de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.