Имя:TR/Click.AU
Обнаружен:28/09/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:11.109 байт.
Контрольная сумма MD5:e87f0271ce34b9f9491b6fd95c2e14a4
Версия VDF:6.36.00.60
Версия IVDF:6.36.00.73 - понедельник, 2 октября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Downloader-AYN
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.c
   •  TrendMicro: PAK_Generic.002
   •  F-Secure: W32/Small.DUU
   •  Sophos: Troj/Dloadr-ANX
   •  Eset: Win32/TrojanDownloader.Agent.NHA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\upnp.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.zxcvz.com/**********
Сохраняется локально в: %temporary internet files%\Content.IE5\%случайно выбранная директория%\c.php Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "np"="%SYSDIR%\upnp.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%выполненный файл%]
– [HKCU\Software\unker\%выполненный файл%\main]
   • "cid"=%шестнадцатиричное значение%

– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
   • "cid"=%шестнадцатиричное значение%

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.zxcvz.com/**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.

 Разное Мьютекс:
Создается мьютекс:
   • ewffefewfwjioIJOJIojioerjiogryivctyxrtio

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Monica Ghitun в(о) четверг, 28 сентября 2006 г.
Описание обновил Adriana Popa в(о) пятница, 17 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.