Имя:TR/Juan.E trojan
Обнаружен:01/02/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:44.165 байт.
Контрольная сумма MD5:83292296d7d1340C59528035fb89ded8
Версия VDF:6.37.01.10 - четверг, 1 февраля 2007 г.
Версия IVDF:6.37.01.10 - четверг, 1 февраля 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Kaspersky: Trojan.Win32.BHO.g
   •  F-Secure: Trojan.Win32.BHO.g
   •  Eset: Win32/BHO.G


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Похищает информацию

 Реестр С добавлением следующих ключей регистрируется BHO (browser helper object):

– [HKCR\CLSID\{68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50}\InprocServer32]
   • @="%Рабочая папка вредоносной программы%\%malware dll%
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50}]

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://65.243.**********
   • http://24.244.**********
   • http://66.220.**********
   • http://64.225.**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Полученная из похищенного блока информация
    • посещенные URL

 Кража – После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • allyoursearch.com; thefreedictionary.com; searchfeed.com;
      www.neon.org.uk; www.sensis.com.au; mygeek.com; clearsearch.com;
      search.gohip.com; usseek.com; findwhat.com; websearch.com;
      revquest.com; 7search.com; ditto.com; mysearch.myway.com;
      mywebsearch.com; destinationadult.com; instafinder.com;
      uk.overture.com; exactsearch.net; findsearch.net; perfectnav.com;
      scoutcrawl.com; genieknows.com; navisearch.net; what2find.com;
      sirsearch.com; crawlbar.com; overture.com; inquire.com; netster.com;
      www.grip.com; www.ukindex.co.uk; lb1.netster.com; zeal.com; seeq.com;
      uk.searchengine.com; url.searchuk.com; www.excite.co.jp;
      search.dmoz.org; www.goclick.com; wikipedia.org; search.about.com;
      galaxysearch.com; wesearchall.com; sex.com; www.london-pages.co.uk;
      vachercher.lycos.fr; search.netscape.com; search.netzero.net;
      search.lycos.co.uk; cgi.search123.com; search.asiaco.com;
      query.nytimes.com; search.aol.co.uk; search.lycos.com;
      www.250000.co.uk; search.aol.com; suche.lycos.de; zoek.lycos.nl;
      vivisimo.com; kanoodle.com; comcast.net; hotbot.com; jayde.com;
      mamma.com; o.co.uk; mirago.de; searchmiracle.com; coolwebsearch.com;
      search.looksmart.com; www.infoseek.co.jp; dogpile.com; sqwire.com;
      vaclick.epilot.com; searchscout.com; apps5.oingo.com;
      fr.search.yahoo.com; au.search.yahoo.com; uk.search.yahoo.com;
      kr.search.yahoo.com; ca.search.yahoo.com; tw.search.yahoo.com;
      de.search.yahoo.com; hk.search.yahoo.com; search.yahoo.co.jp;
      search.yahoo.com; search.sympatico.msn.ca; search.earthlink.net;
      search.wanadoo.co.uk; search.xtramsn.co.nz; www.recherche.aol.fr;
      www.google.com.tw; search.msn.com.hk; www.google.com.hk;
      www.google.com.au; au.altavista.com; fr.altavista.com;
      de.altavista.com; nz.altavista.com; nl.altavista.com;
      uk.altavista.com; search.msn.co.uk; search.msn.com; shoprogers.com;
      reference.com; web.ask.co.uk; go.google.com; alltheweb.com;
      search.msn.fr; gigablast.com; altavista.com; google.com.mx;
      goguides.org; google.co.uk; cp.ah-ha.com; ask.com/web; wisenut.com;
      s.teoma.com; google.com; google.be; bbc.co.uk; google.fr; google.it;
      google.ca; google.de; alexa.com; google.es

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Ernest Szocs в(о) четверг, 22 февраля 2007 г.
Описание обновил Ernest Szocs в(о) четверг, 22 февраля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.