Имя:TR/Dldr.Small.agq.4
Обнаружен:26/09/2005
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:4.477 байт.
Контрольная сумма MD5:f858bcfec28369d83492a5d406ecf60c
Версия VDF:6.31.1.64

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: BackDoor-AZV
   •  Kaspersky: Trojan-Downloader.Win32.Small.bov
   •  Sophos: Troj/Vixup-Gen
   •  Bitdefender: Trojan.Downloader.Small.AMA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы

 Файлы Создается собственная копия:
   • %SYSDIR%\kernels32.exe



Создается файл:

– Незараженный файл:
   • %SYSDIR%\vx.tll




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://**********/adverts/progs/search.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq1.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: 547


– Следующий URL:
   • http://**********/adverts/progs/winlogon.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq2.exe

– Следующий URL:
   • http://**********/adverts/progs/tibs.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq5.exe

– Следующий URL:
   • http://**********/adverts/progs/tool.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq6.exe

– Следующий URL:
   • http://**********/adverts/progs/proxy.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq7.exe

– Следующий URL:
   • http://**********/adverts/progs/search.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq8.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System" = "%SYSDIR%\kernels32.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001



Изменяется следующий ключ реестра:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell" = "Explorer.exe"
   Новое значение:
   • "Shell" = "Explorer.exe %SYSDIR%\kernels32.exe"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://**********/adverts/039/adload.php
   • http://**********/adverts/039/aduniq.php?vx1=%случайная буквенная комбинация%

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG 2.0

Описание добавил Alexandru Tudor в(о) вторник, 27 сентября 2005 г.
Описание обновил Alexandru Tudor в(о) пятница, 30 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.