Имя:TR/Spy.Vundo.AF
Обнаружен:23/03/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:281.652 байт.
Версия VDF:6.37.01.147
Версия IVDF:6.37.01.154 - пятница, 23 февраля 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Grisoft: Downloader.Zlob.FC


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.tmp
   • %Рабочая папка вредоносной программы%\%случайная буквенная комбинация%.ini

 Реестр С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%созданный CLSID%}]


Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %malware dll%]
   • Asynchronous = dword:00000001
   • DllName = %Рабочая папка вредоносной программы%\%malware dll%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%созданный CLSID%}]

– [HKCR\CLSID\{%созданный CLSID%}\InprocServer32]
   • @ = %Рабочая папка вредоносной программы%\%malware dll%
   • ThreadingModel = Both

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://white**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) вторник, 13 марта 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 13 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.