Имя:TR/NSAnti.A.319
Обнаружен:29/05/2006
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:283.656 байт.
Контрольная сумма MD5:5164477c6eac422c840Dbf1d658f599b
Версия VDF:6.34.01.29
Версия IVDF:6.34.01.30 - среда, 3 мая 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  TrendMicro: BKDR_HUIGEZI.W
   •  Bitdefender: Trojan.NSAnti.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\GAME.exe



Выполненная копия программы удаляется.



Создается файл:

– Файл предназначен для временного использования и может быть удален.
   • %WINDIR%\uninstal.bat




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %WINDIR%\uninstal.bat
Данный batch-файл используется для удаления файла.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\ControlSet001\Services\Colume]
   • "Description"="╣▄└φ▒╕╖▌,╣╪▒╒║≤╜½▓╗─▄╜°╨╨╧╡═│╗╣╘¡"
   • "ImagePath"="%WINDIR%\GAME.exe"
   • "ObjectName"="LocalSystem"
   • "DisplayName"="Colume"
   • "ErrorControl"=dword:00000000
   • "Start"=dword:00000002
   • "Type"=dword:00000110

– [HKLM\SYSTEM\ControlSet001\Services\Colume\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000]
   • "DeviceDesc"="Colume"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "Class"="LegacyDriver"
   • "ConfigFlags"=dword:00000000
   • "Legacy"=dword:00000001
   • "Service"="Colume"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000010

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://qcqcz.bd7x.com/**********

Соединение периодически регулярно повторяется.

Передает информацию о:
    • Имя компьютера
    • Информация об операционной системе Windows

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Alexandru Tudor в(о) понедельник, 29 мая 2006 г.
Описание обновил Alexandru Tudor в(о) вторник, 6 июня 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.