Полное описание

Имя:	TR/PSW.Maran.G.5
Обнаружен:	02/08/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	52.599 байт.
Контрольная сумма MD5:	c851c808d7a10F0E45a7f0771b152a64
Версия VDF:	6.35.01.35
Версия IVDF:	6.35.01.35

Общее Метод распространения:
   • Нет собственной процедуры распространения

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

Файлы Выполненная копия программы удаляется.

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Реестр Добавляется следующий ключ реестра:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%шестнадцатиричное значение%

Изменяются следующие ключи реестра:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Новое значение:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Новое значение:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%шестнадцатиричное значение%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Новое значение:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%шестнадцатиричное значение%

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Marius T. Nicolae в(о) понедельник, 18 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) среда, 18 октября 2006 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты