Имя:TR/Click.VB.PF
Обнаружен:12/09/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:22.528 байт.
Контрольная сумма MD5:9fb4d2300fafec7989db659fbf73ac8a
Версия VDF:6.35.01.215
Версия IVDF:6.35.01.219 - среда, 13 сентября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Clicker.Win32.VB.pf
   •  TrendMicro: TROJ_VB.BKM
   •  F-Secure: Trojan-Clicker.Win32.VB.pf
   •  Grisoft: Clicker.CWG
   •  Eset: Win32/TrojanClicker.VB.OO


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Создает файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\Services.exe



Создается файл:

%Рабочая папка вредоносной программы%\killme.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка загрузки следующих файлов:

– Следующий URL:
   • www.sou15.com/fowfly/**********
Сохраняется локально в: %temporary internet files%\IeFavorites.txt

– Следующий URL:
   • www.sou15.com/fowfly/**********
Сохраняется локально в: %temporary internet files%\adset.txt

– Следующий URL:
   • www.sou15.com/fowfly/**********
Сохраняется локально в: %temporary internet files%\adlist.txt Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\Services.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • @=""
   • "W2KLpk"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014

 Backdoor Устанавливает соединение с сервером
Следующий:
   • www.sou15.com/fowfly/**********

В результате может пересылаться информация.

Передает информацию о:
    • Имя компьютера
    • Текущий malware статус.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack

Описание добавил Adriana Popa в(о) четверг, 12 октября 2006 г.
Описание обновил Adriana Popa в(о) четверг, 12 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.