Имя:DR/Softomate.Q.1
Обнаружен:04-08-2006
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:151.112 байт.
Контрольная сумма MD5:0E3f20d50B80021303dfb19bd8214ff2
Версия VDF:6.35.01.52

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Adware-Softomate.dr.
   •  VirusBuster: trojan Trojan.DR.MultiDrop.AL


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы  Создается следующая директория:
   • %PROGRAM FILES%\ToolBar888



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\ns%случайная буквенная комбинация%.tmp\System.dll
   • %TEMPDIR%\ns%случайная буквенная комбинация%.tmp\nsProcess.dll
   • %TEMPDIR%\ns%случайная буквенная комбинация%.tmp\Services.dll

%PROGRAM FILES%\Common Files\%созданный CLSID%\Update.exe После полного завершения процесса создания он запускается на выполнение.
%PROGRAM FILES%\Common Files\%созданный CLSID%\services.dll
%PROGRAM FILES%\ToolBar888\Activate.exe После полного завершения процесса создания он запускается на выполнение.
%PROGRAM FILES%\ToolBar888\MyToolBar.dll Определен как: ADSPY/Softmate.R.1

%PROGRAM FILES%\ToolBar888\Uninst.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%созданный CLSID%"= ""%PROGRAM FILES%\Common Files\%созданный CLSID%\Update.exe" mc-110-12-0000272 "



Удаляются значения следующих ключей реестра:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "MSUpdate"
   • "WinUpdate.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Director"



С добавлением следующих ключей регистрируется BHO (browser helper object):

– [HKCR\MyToolBar.MyToolBarObj.1]
   • @="ToolBar888"

– [HKCR\MyToolBar.MyToolBarObj.1\CLSID]
   • @="{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}"

– [HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}]
   • @="ToolBar888"

– [HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\InprocServer32]
   • @="%PROGRAM FILES%\ToolBar888\MyToolBar.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\ProgID]
   • @="MyToolBar.MyToolBarObj.1"

– [HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\TypeLib]
   • @="{CD2A09D7-EE7E-4c25-993C-C2678ECFAD01}"

– [HKCR\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}\
   VersionIndependentProgID]
   • @="MyToolBar.MyToolBarObj"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}]
– [HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0]
   • @="ToolBar888 1.0 Type Library"

– [HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\0\win32]
   • @="%PROGRAM FILES%\ToolBar888\MyToolBar.dll"

– [HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}\1.0\HELPDIR]
   • @="%PROGRAM FILES%\ToolBar888\"

– [HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}]
   • @="IMyToolBarObj"

– [HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}\TypeLib]
   • @="{569304BA-83ED-4CFF-AC26-BE3E482F7208}"
   • "Version"="1.0"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   ToolBar888]
   • "DisplayName"="ToolBar888"
   • "UninstallString"="%PROGRAM FILES%\ToolBar888\Uninst.exe"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
   • "{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}"=hex:

Описание добавил Daniel Constantin в(о) понедельник, 7 августа 2006 г.
Описание обновил Daniel Constantin в(о) среда, 9 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.