Имя:TR/Click.Delf.FZ.1
Обнаружен:14/09/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:698.368 байт.
Контрольная сумма MD5:437bbd6423473942fb097febadf18af8
Версия VDF:6.36.00.07
Версия IVDF:6.36.00.17 - пятница, 15 сентября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Clicker.Win32.Delf.fz
   •  TrendMicro: TROJ_DELF.CRL
   •  F-Secure: Trojan-Clicker.Win32.Delf.fz
   •  Grisoft: Clicker.CWH


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %PROGRAM FILES%\PViever\pviever.exe



Создается следующая директория:
   • %PROGRAM FILES%\PViever



Создается файл:

%PROGRAM FILES%\PViever\uin.txt

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PViever"=""%PROGRAM FILES%\PViever\pviever.exe" hide"



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform]
   • @=""

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
   Прежнее значение:
   • @="http://"
   Новое значение:
   • @="http://htpp.ws?"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]
   Прежнее значение:
   • "www"="http://"
   Новое значение:
   • "www"="http://htpp.ws?"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • neosap.ru/surf/**********
   • super-tds.info/surf/**********
   • htpp.ws/surf/**********
   • xep.ru/surf/**********

В результате обеспечиваются функции скрытого удаленного управления. Соединение периодически регулярно повторяется.

Возможности удаленного контроля:
    • Посещение веб-страницы

 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Adriana Popa в(о) среда, 27 сентября 2006 г.
Описание обновил Adriana Popa в(о) среда, 27 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.