Имя:TR/Enfal.E
Обнаружен:05/08/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:65.586 байт.
Контрольная сумма MD5:a6707ce1a445eb7f75abdb82b23dbd8c
Версия VDF:6.35.01.53 - суббота, 5 августа 2006 г.
Версия IVDF:6.35.01.53 - суббота, 5 августа 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Enfal
   •  Kaspersky: Trojan.Win32.Enfal.d
   •  TrendMicro: WORM_AGENT.DJI
   •  Bitdefender: Trojan.Enfal.D


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\Winkrnl.exe
   • %SYSDIR%\DisMgnt.exe



Выполненная копия программы удаляется.

 Реестр Изменяется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Прежнее значение:
   • "Userinit"="%sysdir%\userinit.exe,"
   Новое значение:
   • "Userinit"="%sysdir%\userinit.exe,%sysdir%\DisMgnt.exe"

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********

Следующий:
   • http://www.luck4us.com**********

В результате может пересылаться информация. Соединение периодически регулярно повторяется. Для этого служит метод HTTP POST с применением CGI скриптов.


Передает информацию о:
    • Имя компьютера
    • MAC-адрес

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • %WINDIR%\explorer.exe


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Teodor Onisor в(о) вторник, 8 августа 2006 г.
Описание обновил Teodor Onisor в(о) вторник, 8 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.