Имя:TR/VB.aoy.1
Обнаружен:31/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:54.272 байт.
Контрольная сумма MD5:a94d9125b40Ecc42c219bfc6e2b1f0e8
Версия VDF:6.35.01.27 - понедельник, 31 июля 2006 г.
Версия IVDF:6.35.01.27 - понедельник, 31 июля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: BackDoor-M
   •  Kaspersky: Trojan.Win32.VB.aoy
   •  Bitdefender: Trojan.Porno.C


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Изменение реестра


После запуска выдается следующая информация:



После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создаются собственные копии:
   • C:\Sexxxxxesexxxxx\Sarah Azhari - Nude.asf.exe
   • C:\Sexxxxxesexxxxx\Skandal Mayang Sari.wmv.exe
   • C:\Sexxxxxesexxxxx\Amatiran - Anak Ciledug.mov.exe
   • C:\Sexxxxxesexxxxx\Tanpa Judul.avi.exe
   • C:\Sexxxxxesexxxxx\Tommy Kurniawan & His Girl Friend.3gp.exe
   • C:\Sexxxxxesexxxxx\Luna Maya - Hidden Camera.mpeg.exe
   • C:\Sexxxxxesexxxxx\Bjah & Sukma Ayu.mpg.exe
   • %WINDIR%\inf\Bandot240482\winlogon.ex
   • %WINDIR%\inf\Bandot240482\csrss.exe
   • %WINDIR%\inf\Bandot240482\lsass.exe
   • %WINDIR%\inf\Bandot240482\smss.exe
   • %WINDIR%\BandotBrobot.exe
   • %SYSDIR%\Exblorer.exe
   • %SYSDIR%\Oobe\Blaut.exe
   • %SYSDIR%\Drivers\Ble'e.exe
   • %SYSDIR%\cmd.pif
   • %SYSDIR%\regedit.pif
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).pif
   • %SYSDIR%\ssMedia.scr
   • C:\Comand.com
   • C:\Ghost.com
   • D:\Kupu-Kupu Malam.mpg.exe
   • C:\Pornotaksi.mpg.exe
   • C:\Pornogelapi.mpg.exe
   • D:\Bangkit Dari Kubur.mpg.exe
   • D:\Paris Hilton.scr
   • E:\Kupu-Kupu Malam.mpg.exe
   • F:\Kupu-Kupu Malam.mpg.exe
   • G:\Kupu-Kupu Malam.mpg.exe
   • H:\Kupu-Kupu Malam.mpg.exe
   • I:\Kupu-Kupu Malam.mpg.exe
   • %ALLUSERSPROFILE%\Desktop\Penjahat Kelamin.html
   • %ALLUSERSPROFILE%\Desktop\Go to Taman Lawang.url
   • %ALLUSERSPROFILE%\Desktop\Register Jadi Jablay.reg
   • %ALLUSERSPROFILE%\Desktop\Link ke Neraka.lnk
   • %ALLUSERSPROFILE%\Desktop\Gancet di Kuburan.mpg
   • %ALLUSERSPROFILE%\Desktop\Annisa Gahar.mov
   • %ALLUSERSPROFILE%\Desktop\Inul Bautista.wmv



Создаются следующие директории:
   • C:\Sexxxxxesexxxxx\
   • %WINDIR%\inf\Bandot240482\



Создается файл:

– C:\PENTING!!!.TXT Файл является безвредным текстовым файлом со следующим содержимым:
   • *--------------*
      | Bandot.A |
      *--------------*
     Dedicated to:
     - Dosen -
     Pak Harry, Pak Mardi, Pak Tomo & Ibu Yuliazmi.
     'Skripsi pake project ini boleh gak?'
     - Campus -
     Coday, Acik, Onoy, Didan, Panjang, Hilmi & more...
     - Rental -
     Dion, Boncu, Tiray, Jebag & more...
     - Other -
     Rahmat, Gonjo, Trian, Hasan & more...
     Juni 2006

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "BandotOye"="%WINDIR%\BandotBrobot.exe"
   • "WindowsLogon"="%WINDIR%\Inf\Bandot240482\winlogon.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "LocalServices"="%WINDIR%\Inf\Bandot240482\lsass.exe"
   • "WinExblorerXX"="%SYSDIR%\Exbloler.exe"



Добавляются следующие ключи реестра:

– HKCU\Control Panel\Desktop
   • "SCRNSAVE.EXE"="%SYSDIR%\ssMedia.scr"

– HKLM\SOFTWARE\Classes\Folder\shell\Sexxxxesexxxx

– HKLM\SOFTWARE\Classes\Folder\shell\Sexxxxesexxxx\command
   • "(Default)"="logoff"



Изменяются следующие ключи реестра:

– HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
   Прежнее значение:
   • "DisableConfig"=%Настройки пользователя%
   • "DisableSR"=%Настройки пользователя%
   Новое значение:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– HKCU\Control Panel\Desktop
   Прежнее значение:
   • "ScreenSaveTimeOut"=%Настройки пользователя%
   • "ScreenSaveActive"=%Настройки пользователя%
   Новое значение:
   • "ScreenSaveTimeOut"="60"
   • "ScreenSaveActive"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   Прежнее значение:
   • "AlternateShell"="cmd.exe"
   Новое значение:
   • "AlternateShell"="%SYSDIR%\Oobe\Blaut.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe,"
   Новое значение:
   • "Shell"="Explorer.exe "%SYSDIR%\Oobe\Blaut.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\Drivers\Ble'e.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
   Прежнее значение:
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Новое значение:
   • "Debugger"=""%SYSDIR%\Drivers\Ble'e.exe""

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Прежнее значение:
   • "Hidden"=%Настройки пользователя%
   • "HideFileExt"=%Настройки пользователя%
   • "ShowSuperHidden"=%Настройки пользователя%
   Новое значение:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Сетевое инфицирование  Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • %все папки общего доступа%\bangbros_trailer.mpg.exe

 Завершение процесса Завершение процессов с одним из следующих имен окна:
   • TaskKill; Taskill; oral; System Configuration Utility; Run; Visual
      Basic; Folder Options; Sysinternals; Hack; Stop It!; McDaniel; Command
      Prompt; Internet Options; Tools; Tasklist; Process; Kill; Killer;
      Terminator; Controller; Regedit; Registri; Regcmd; Registry;
      WinFortress; Patrol; TuneUp; Utiliti; Utility; Hijack; Console; Group
      Policy; nude; hardcore; shot; cumshot; duniasex; fuck; sexy; taboo;
      kiss; lesbi; pussy; girl; teen; horn; avast!; Alwil; AVG; Norton;
      Symantec; McAfee; F-Prot; F-Secure; Cillin; NOD; Norman; Spy; Comodo;
      Rising; Trustix; Media Player Classic; Computer Management; Anti;
      4nt1; Ant1; 4nti; Virus; Remover; Clean; System Properties; Finder;
      regWork; Optimizer; ASO; Mindsoft; Tweak; Winboost; Wintool; System
      Mechanic; Magic


 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PECompact

Описание добавил Teodor Onisor в(о) пятница, 4 августа 2006 г.
Описание обновил Teodor Onisor в(о) пятница, 4 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.