Имя:TR/Renos.28160
Обнаружен:18/01/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:28.160 байт.
Контрольная сумма MD5:1ac77505fc560F58c1fb5f944a4c3336
Версия VDF:6.37.00.171
Версия IVDF:6.37.00.187 - четверг, 18 января 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.gs
   •  F-Secure: not-virus:Hoax.Win32.Renos.gs
   •  Sophos: Troj/Spywad-AO
   •  Eset: Win32/Adware.SpySheriff


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Загружает вредоносные файлы
   • Изменение реестра

 Файлы Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal.exe

– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal.lic

– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: PHISH/FraudTool.SpySheriff.A.6


– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal0.sm

– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal1.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Zlob.127488


– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal1.sm

– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal2.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: PHISH/FraudTool.SpySheriff.A.5


– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\SpyMarshal3.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: PHISH/FraudTool.SpySheriff.A.7


– Следующий URL:
   • http://www.SpyMarshal.com/**********
Сохраняется локально в: %PROGRAM FILES%\Uninstall.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows update loader = %WINDIR%\xpupdate.exe
   • SpyMarshal = %PROGRAM FILES%\SpyMarshal\SpyMarshal.exe



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Новое значение:
   • NoChangingWallpaper = dword:00000000
   • NoComponents = dword:00000000
   • NoAddingComponents = dword:00000000
   • NoDeletingComponents = dword:00000000
   • NoEditingComponents = dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoActiveDesktop = dword:00000000
   • ClassicShell = dword:00000000
   • ForceActiveDesktopOn = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • Wallpaper = %WINDIR%\desktop.html

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Новое значение:
   • WallpaperFileTime = %шестнадцатиричное значение%
   • WallpaperLocalFileTime = %шестнадцатиричное значение%
   • ComponentsPositioned = dword:00000002

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Andrei Gherman в(о) вторник, 20 марта 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 20 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.