Имя:TR/Proxy.Horst.bl
Обнаружен:19/04/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:49.664 байт.
Контрольная сумма MD5:d06bf79493e4e41528f9ebf2d96a34a1
Версия VDF:6.34.00.199
Версия IVDF:6.34.00.201 - среда, 19 апреля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\system\smss.exe



Создаются следующие файлы:

%TEMPDIR%\tmp1.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\nvsvcd.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой.



Попытка загрузки следующего файла:

– Следующий URL:
   • http://up.medbod.com/up/**********?jaal-1_%Число%_%Число%
Сохраняется локально в: %TEMPDIR%\%Число%exmodul32.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%шестнадцатиричное значение%



Удаляются все значения следующего ключа реестра и его подключей:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



Добавляется следующий ключ реестра:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%Шестнадцатиричное число%"
   • "Pid"=dword:00000c88

 Email От:
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– Собранные в Интернете адреса.


Тело:
– Содержит HTML код.
Содержимое получено из файла: http://seekj.lootseek.com/d/**********



Письмо выглядит следующим образом:


 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: info.cabmun.**********
Порт: 5190
Имя: jaal-1_%Число%_%Число%

Сервер: up.barmuz.**********
Порт: 1021
Имя: jaal-1_%Число%_%Число%


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://rc.rizalof.com/**********?version=%Число%



Передает информацию о:
    • Текущий malware статус.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Ionut Slaveanu в(о) среда, 14 июня 2006 г.
Описание обновил Ionut Slaveanu в(о) среда, 28 июня 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.