Имя:TR/BHO.D.4
Обнаружен:21/09/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:65.536 байт.
Контрольная сумма MD5:9b1006feb6938a6924af7f2c6fcbee1d
Версия VDF:6.36.00.45
Версия IVDF:6.36.00.56 - понедельник, 25 сентября 2006 г.

 Общее Псевдонимы (аliases):
   •  Symantec: Trojan.Nethell
   •  Mcafee: Nethell
   •  Kaspersky: Trojan.Win32.BHO.d
   •  Sophos: Troj/Nethell-E
   •  VirusBuster: trojan Trojan.BHO.AJ
   •  Bitdefender: Trojan.Nethell.E


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Создает файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается файл:

– Незараженный файл:
   • %SYSDIR%\acss.txt

 Реестр Добавляются следующие ключи реестра:

– HKCR\NetHelper.Hook.1
   • "(Default)"="Hook Class"

– HKCR\NetHelper.Hook.1\CLSID
   • "(Default)"="{1593C741-C011-46FE-99FC-3805C28328BA}"

– HKCR\NetHelper.Hook
   • "(Default)"="Hook Class"

– HKCR\NetHelper.Hook\CLSID
   • "(Default)"="{1593C741-C011-46FE-99FC-3805C28328BA}"

– HKCR\NetHelper.Hook\CurVer
   • "(Default)"="NetHelper.Hook.1"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}
   • "(Default)"="Hook Class"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\InprocServer32
   • "(Default)"="%выполненный файл%"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\ProgID
   • "(Default)"="NetHelper.Hook.1"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\TypeLib
   • "(Default)"="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\
   VersionIndependentProgID
   • "(Default)"="NetHelper.Hook"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0
   • "(Default)"="NetHelper 1.0 Type Library"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0\win32
   • "(Default)"="%выполненный файл%"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\HELPDIR
   • "(Default)"="%текущая папка%"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}
   • "(Default)"="IHook"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\TypeLib
   • "(Default)"="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"
   • "Version"="1.0"

– HKCU\Software\Nethelper
   • "LastTime"=%шестнадцатиричное значение%

 Кража Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Протоколируется:
    • Интернет трафик

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Bogdan Iliuta в(о) среда, 27 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) пятница, 20 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.