Имя:TR/PSW.Lmir.53381
Обнаружен:31/08/2005
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:53.381 байт.
Контрольная сумма MD5:377d336c659395f6faf9100b69eaa84a
Версия VDF:6.31.1.54

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются собственные копии:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Изменяются следующие ключи реестра:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Shell"=%Настройки пользователя%
   Новое значение:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Прежнее значение:
   • @=%Настройки пользователя%
   Новое значение:
   • @="%SYSDIR%\winl0gon.exe %1"

 Завершение процесса Список завершаемых процессов:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

Завершаются процессы со следующими характеристиками:
    •  Название: Symantec AntiVirus     Имя класса: KV2004
    •  Название: RavMon.exe     Имя класса: RavMonClass
    •  Название: %случайная буквенная комбинация%     Имя класса: Tapplication
    •  Название: %случайная буквенная комбинация%     Имя класса: TForm1
    •  Название: %случайная буквенная комбинация%     Имя класса: TfLockDownMain
    •  Название: %случайная буквенная комбинация%     Имя класса: ZAFrameWnd
    •  Название: %случайная буквенная комбинация%     Имя класса: KvXP_ExpertFrame
    •  Название: %случайная буквенная комбинация%     Имя класса: WHXMDI0
    •  Название: RegEdit_RegEdit     Имя класса: TKillqqv
    •  Название: %случайная буквенная комбинация%     Имя класса: TfrmMain

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • Legend of Mir2
   • Legend of Mir3

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Irina Boldea в(о) среда, 31 августа 2005 г.
Описание обновил Irina Boldea в(о) четверг, 1 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.