Имя:TR/PSW.Bedruger.2
Обнаружен:27/06/2005
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:23.184 байт.
Контрольная сумма MD5:b49d3526ce011d76063d8081333a9ef4
Версия VDF:6.31.00.112

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\SVCH0ST.EXE



Выполненная копия программы удаляется.



Создается файл:

– Незараженный файл:
   • %SYSDIR%\mmdat.dat

%SYSDIR%\ntdll32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Agent.GD

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Изменяется следующий ключ реестра:

– [HKCR\exefile\shell\open\command]
   Прежнее значение:
   • @="\"%1\" %*"
   Новое значение:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Отправитель письма:
   • mimathief@mimathief.com


Кому:
Получателем письма является:
   • vicimax@163.com


Тема:
Следующее:
   • %текст на китайском языке%



Тело:
Тело письма имеет следующий вид:

   • %текст на китайском языке%: %похищенная информация%
     %посещенные URL%
     %текст на китайском языке%: %похищенная информация%
     %текст на китайском языке%: %похищенная информация%



Письмо выглядит следующим образом:


 Отправка MX Server:
Не использует стандартный MX сервер.
Обладает способностью связаться со следующим MX сервером:
   • 163.com

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая ве
Описание добавил Gabriel Mustata в(о) пятница, 10 ноября 2006 г.
Описание обновил Gabriel Mustata в(о) четверг, 16 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.