Имя:TR/KillAV.FT
Обнаружен:27/09/2005
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:98.304 байт.
Контрольная сумма MD5:e7ea0b0fac0d30110346912c02f14f50
Версия VDF:6.32.0.45

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.KillAV.ft
   •  VirusBuster: Trojan.KillAV.CE
   •  Bitdefender: Trojan.Win32.KillAV.FT


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Отключение приложений безопасности
   • Загружает файлы
   • Снижает уровень настроек безопасности

 Файлы Создается собственная копия:
   • %ALLUSERSPROFILE%\start menu\programs\startup\office.exe



Копируются следующие файлы:
    •  %Рабочая папка вредоносной программы%\data.dat в %TEMPDIR%\setup.msi
    •  %Рабочая папка вредоносной программы%\setup.dat в %TEMPDIR%\setup.exe
    •  %Рабочая папка вредоносной программы%\setup.ini в %TEMPDIR%\setup.ini



Удаляются следующие файлы:
   • %TEMPDIR%\setup.msi
   • %TEMPDIR%\setup.exe
   • %TEMPDIR%\setup.ini
   • C:\temp\ftp.txt
   • %WINDIR%\up.bat
   • C:\temp\un.reg



Создаются следующие файлы:

%WINDIR%\up.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– C:\temp\ftp.txt



Попытка загрузки следующих файлов:

– Следующие URL:
   • 16286.**********com/update.exe
   • 19427.**********com/update.exe
   • 20984.**********com/update.exe
   • 2441.**********com/update.exe
   • 31615.**********com/update.exe
   • 33895.**********com/update.exe
   • 3556.**********com/update.exe
   • 40293.**********com/update.exe
   • 4368.**********com/update.exe
   • 44628.**********com/update.exe
   • 45612.**********com/update.exe
   • 54668.**********com/update.exe
   • 55846.**********com/update.exe
   • 58275.**********com/update.exe
   • 58949.**********com/update.exe
   • 6118.**********com/update.exe
   • 62708.**********com/update.exe
   • 67414.**********com/update.exe
   • 69655.**********com/update.exe
   • 70411.**********com/update.exe
   • 72170.**********com/update.exe
   • 75858.**********com/update.exe
   • 78401.**********com/update.exe
   • 82935.**********com/update.exe
   • 83859.**********com/update.exe
   • 84483.**********com/update.exe
   • 88198.**********com/update.exe
   • 90926.**********com/update.exe
   • 95304.**********com/update.exe
   • 99956.**********com/update.exe
   • bzeva.**********org/update.exe
   • jzcva.**********org/update.exe
   • updates.**********org/update.exe
   • zcava.**********org/update.exe
Сохраняется локально в: C:\temp\update.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующие URL:
   • 16286.**********com/un.reg
   • 19427.**********com/un.reg
   • 20984.**********com/un.reg
   • 2441.**********com/un.reg
   • 31615.**********com/un.reg
   • 33895.**********com/un.reg
   • 3556.**********com/un.reg
   • 40293.**********com/un.reg
   • 4368.**********com/un.reg
   • 44628.**********com/un.reg
   • 45612.**********com/un.reg
   • 54668.**********com/un.reg
   • 55846.**********com/un.reg
   • 58275.**********com/un.reg
   • 58949.**********com/un.reg
   • 6118.**********com/un.reg
   • 62708.**********com/un.reg
   • 67414.**********com/un.reg
   • 69655.**********com/un.reg
   • 70411.**********com/un.reg
   • 72170.**********com/un.reg
   • 75858.**********com/un.reg
   • 78401.**********com/un.reg
   • 82935.**********com/un.reg
   • 83859.**********com/un.reg
   • 84483.**********com/un.reg
   • 88198.**********com/un.reg
   • 90926.**********com/un.reg
   • 95304.**********com/un.reg
   • 99956.**********com/un.reg
   • bzeva.**********org/un.reg
   • jzcva.**********org/un.reg
   • updates.**********org/un.reg
   • zcava.**********org/un.reg
Сохраняется локально в: C:\temp\un.reg На момент проверки данный файл не был доступен.

 Завершение процесса Список завершаемых процессов:
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\zlclient.exe
   • McDetect.exe
   • McTskshd.exe
   • mcupdmgr.exe
   • SpySweeper.exe


Список завершаемых служб:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • McAfee Personal Firewall Service
   • mcshield
   • Norton AntiVirus Auto Protect Service
   • norton antivirus firewall monitor service
   • Security Center
   • Sygate Personal Firewall
   • Webroot Spy Sweeper Engine
   • Windows Firewall/Internet Connection Sharing (ICS)

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Irina Boldea в(о) вторник, 27 сентября 2005 г.
Описание обновил Irina Boldea в(о) пятница, 30 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.