Полное описание

Имя:	TR/Click.Small.HR
Обнаружен:	23/08/2005
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	20.480 байт.
Контрольная сумма MD5:	aab0b0d92b441763d45cff47c9224bcb
Версия VDF:	6.31.1.140

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: PWSteal.Lemir
   • Kaspersky: Trojan-Clicker.Win32.Small.hr
   • Panda: Trj/Agent.AIA
   • Bitdefender: Trojan.Clicker.Small.HR

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Последствия:
   • Отключение приложений безопасности
   • Изменение реестра

Файлы Создается собственная копия:
• %SYSDIR%\iexplore.exe

Выполненная копия программы удаляется.

Создается файл:

– %WINDIR%\deleteme.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft"="%SYSDIR%\iexplore.exe"

Удаляются значения следующих ключей реестра:

– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • RavMon
   • KAVPersonal50
   • RavTimer
   • KvMonXP
   • iDuba Personal FireWall
   • KAVRun
   • KpopMon
   • Kulansyn
   • KavPFW
   • KvXP
   • ccApp
   • SSC_UserPrompt
   • NAV CfgWiz
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • VirusScan Online
   • VSOCheckTask
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • KavStart
   • Services
   • KWatch9x

– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • iDuba Personal FireWall
   • KavPFW
   • KvXP

Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\MskService
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McShield
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
   • Start=dword:00000004

Завершение процесса Список завершаемых процессов:
   • CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
      KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
      KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
      KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
      KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
      RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
      TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe

Завершаются процессы со следующими характеристиками:
    • Название: Symantec AntiVirus     Имя класса: KV2004
    • Название: RavMon.exe     Имя класса: RavMonClass
    • Название: ZoneAlarm     Имя класса: ZAFrameWnd
    • Название: %Двухбайтовый символ%     Имя класса: Tapplication
    • Название: %Двухбайтовый символ%     Имя класса: TForm1
    • Название: %Случайно%     Имя класса: TfLockDownMain
    • Название: %Случайно%     Имя класса: KvXP_ExpertFrame
    • Название: %Случайно%     Имя класса: WHXMDI0

Список завершаемых служб:
   • ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
      KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
      navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
      Core LC; wscsvc

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Irina Boldea в(о) вторник, 23 августа 2005 г.
Описание обновил Irina Boldea в(о) понедельник, 29 августа 2005 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты