Имя:TR/Dldr.Banker.GA.1
Обнаружен:25/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:42.496 байт.
Контрольная сумма MD5:06bf129bba13d220406a6ce5739d63a1
Версия VDF:6.35.01.000
Версия IVDF:6.35.01.000

 Общее Псевдонимы (аliases):
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\138762763.exe



Разделы добавляются в файл.
– Кому: %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\extensions.ini Со следующим содержимым:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Создаются следующие файлы:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%случайная комбинация букв из восьми букв%.default\chrome\chrome.rdf

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



Добавляется следующий ключ реестра:

– HKCU\Software\keys
   • "k2"=%Шестнадцатиричное число%
   • "k1"=%Шестнадцатиричное число%

 Backdoor Устанавливает соединение с сервером
Следующий:
   • 81.95.147.107/cgi-bin/**********

Это происходит с помощью HTTP GET запроса CGI скрипта.


Передает информацию о:
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая ве
Описание добавил Bogdan Iliuta в(о) пятница, 28 июля 2006 г.
Описание обновил Bogdan Iliuta в(о) понедельник, 31 июля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.