Полное описание

Имя:	TR/Vb.akv
Обнаружен:	18/05/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От среднего до высокого
Файл статистики:	Да
Размер файла:	188.416 байт.
Контрольная сумма MD5:	fdd2e621aca76fd503535376e4063118
Версия VDF:	6.34.01.99
Версия IVDF:	6.34.01.101 - четверг, 18 мая 2006 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan.Win32.VB.akz
   • F-Secure: Trojan.Win32.VB.akz
   • Eset: Win32/VB.AKZ
   • Bitdefender: Trojan.Vb.AKZ

Последствия:
   • Отключение приложений безопасности
   • Создает файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создаются собственные копии:
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • %текущая папка%\%текущее имя папки%.exe

Удаляются следующие файлы:
   • %текущая папка%\*.exe
   • %текущая папка%\*.txt
   • %текущая папка%\*.com
   • %текущая папка%\*.reg
   • %текущая папка%\*.inf
   • %текущая папка%\*.rar

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\~%Шестнадцатиричное число%.tmp

– %HOME%\My Documents\Baca.html

Реестр Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"

Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Прежнее значение:
   • "FullPath"=%Настройки пользователя%
   Новое значение:
   • "FullPath"=dword:00000001

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Прежнее значение:
   • "FullPath"=%Настройки пользователя%
   Новое значение:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   Прежнее значение:
   • "InfoTip"="prop:DocComments"
   Новое значение:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   Прежнее значение:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Новое значение:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   Прежнее значение:
   • "TileInfo"="prop:Size"
   Новое значение:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   Прежнее значение:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Новое значение:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   Прежнее значение:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   Новое значение:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   Прежнее значение:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   Новое значение:
   • @="%SYSDIR%\OOKE.EXE %1"

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "HideFileExt"=%Настройки пользователя%
   • "ClassicViewState"=%Настройки пользователя%
   • "SuperHidden"=%Настройки пользователя%
   • "ShowSuperHidden"=%Настройки пользователя%
   Новое значение:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "HideFileExt"=%Настройки пользователя%
   • "SuperHidden"=%Настройки пользователя%
   • "ShowSuperHidden"=%Настройки пользователя%
   • "ClassicViewState"=%Настройки пользователя%
   Новое значение:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Прежнее значение:
   • "AntiVirusDisableNotify"=%Настройки пользователя%
   • "FirewallDisableNotify"=%Настройки пользователя%
   • "UpdatesDisableNotify"=%Настройки пользователя%
   • "AntiVirusOverride"=%Настройки пользователя%
   • "FirewallOverride"=%Настройки пользователя%
   Новое значение:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Отключение редактора реестра и менеджера задач:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Прежнее значение:
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Прежнее значение:
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Прежнее значение:
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Прежнее значение:
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Прежнее значение:
   • "RegisteredOrganization"=%Настройки пользователя%
   • "RegisteredOwner"=%Настройки пользователя%
   Новое значение:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   Прежнее значение:
   • "NoFind"=%Настройки пользователя%
   • "NoRun"=%Настройки пользователя%
   Новое значение:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • "NoFind"=%Настройки пользователя%
   • "NoRun"=%Настройки пользователя%
   Новое значение:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell"="explorer.exe"
   Новое значение:
   • "Shell"="explorer.exe jjakarta.exe"

Завершение процесса Завершение процессов с одним из следующих имен окна:
• windows task manager
• search results

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Adriana Popa в(о) пятница, 24 ноября 2006 г.
Описание обновил Adriana Popa в(о) пятница, 24 ноября 2006 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты