Имя:ADSPY/Virtumonde.B
Обнаружен:14/06/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:47.629 байт.
Контрольная сумма MD5:5b00c4a26bfb132b7c5b8692949d227b
Версия VDF:6.35.00.23
Версия IVDF:6.35.00.29 - четверг, 15 июня 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\%случайная комбинация букв из семи букв%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/Virtumonde.B

%TEMPDIR%\removalfile.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%случайная комбинация букв из семи букв%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%случайная комбинация букв из семи букв%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Текущий malware статус.


Возможности удаленного контроля:
    • Загрузить файл

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\%случайная комбинация букв из семи букв%.dll

    Все следующие процессы:
   • explorer.exe
   • WINLOGON.EXE


 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственные файлы

Описание добавил Marius T. Nicolae в(о) среда, 6 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) вторник, 5 декабря 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.