Контакт
О компании
Пресса
Бета-тест
Language:
Русский
English
Deutsch
Français
Español
Italiano
Português
Русский
Для дома
Avira Antivirus Premium
Avira Internet Security
Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка
Поддержка
Для дома
Обзор
Последние новости
Видеоуроки
База знаний
Для предприятий
Обзор
Последние новости
База знаний
Вирусная лаборатория
Описание вирусов
Статистика
VDF История
Вирусы In the Wild
О вредоносном ПО
Отправить подозрительный файл
Загрузка
Загрузка продуктов
Техническая документация
Жизненный цикл продуктов
Обновление VDF
Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры
Бесплатнo
Download
Поиск
Резюме
Полное описание
Статистика
Имя:
TR/PSW.Bedruger.2
Обнаружен:
27/06/2005
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
23.184 байт.
Контрольная сумма MD5:
b49d3526ce011d76063d8081333a9ef4
Версия VDF:
6.31.00.112
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Mcafee: PWS-MMThief
• Kaspersky: Trojan-Spy.Win32.Agent.ei
• Sophos: Trojan-Spy.Win32.Agent.ei
• VirusBuster: trojan TrojanSpy.Agent.QJV
• Bitdefender: Trojan.Spy.Agent.EI
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Похищает информацию
Файлы
Создается собственная копия:
•
%SYSDIR%
\SVCH0ST.EXE
Выполненная копия программы удаляется.
Создается файл:
– Незараженный файл:
•
%SYSDIR%
\mmdat.dat
–
%SYSDIR%
\ntdll32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Agent.GD
Реестр
Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "SVCHOST"="
%SYSDIR%
\SVCH0ST.EXE"
Изменяется следующий ключ реестра:
– [HKCR\exefile\shell\open\command]
Прежнее значение:
• @="\"%1\" %*"
Новое значение:
• @="
%SYSDIR%
\SVCH0ST.EXE %1 %*"
Email
Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:
От:
Адрес отправителя был фальсифицирован.
Отправитель письма:
• mimathief@mimathief.com
Кому:
Получателем письма является:
• vicimax@163.com
Тема:
Следующее:
•
%текст на китайском языке%
Тело:
Тело письма имеет следующий вид:
•
%текст на китайском языке%
:
%похищенная информация%
%посещенные URL%
%текст на китайском языке%
:
%похищенная информация%
%текст на китайском языке%
:
%похищенная информация%
Письмо выглядит следующим образом:
Отправка
MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующим MX сервером:
• 163.com
Кража
Попытка кражи следующей информации:
– Введенные в поле пароля символы
– После посещения следующей веб-страницы была запущена функция протоколирования:
•
%каждая ве
Описание добавил Gabriel Mustata в(о) пятница, 10 ноября 2006 г.
Описание обновил Gabriel Mustata в(о) четверг, 16 ноября 2006 г.
Назад
.
.
.
.
