Полное описание

Имя:	ADSPY/Virtumonde.B
Обнаружен:	14/06/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	47.629 байт.
Контрольная сумма MD5:	5b00c4a26bfb132b7c5b8692949d227b
Версия VDF:	6.35.00.23
Версия IVDF:	6.35.00.29 - четверг, 15 июня 2006 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   • TrendMicro: TROJ_VUNDO.BC
   • Bitdefender: Trojan.Virtumod.T

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Выполненная копия программы удаляется.

Создаются следующие файлы:

– %SYSDIR%\%случайная комбинация букв из семи букв%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/Virtumonde.B

– %TEMPDIR%\removalfile.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%случайная комбинация букв из семи букв%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%случайная комбинация букв из семи букв%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Текущий malware статус.

Возможности удаленного контроля:
    • Загрузить файл

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\%случайная комбинация букв из семи букв%.dll

    Все следующие процессы:
   • explorer.exe
   • WINLOGON.EXE

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Скрывает следующее:
– Собственные файлы

Описание добавил Marius T. Nicolae в(о) среда, 6 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) вторник, 5 декабря 2006 г.

Назад . . . .