Имя:TR/Virtumonde.26730
Обнаружен:02/04/2007
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:26730 байт.
Контрольная сумма MD5:731396df61f1cedc2b70ab33ebb0c0b3
Версия VDF:6.38.00.161
Версия IVDF:6.38.00.165 - вторник, 3 апреля 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная комбинация из пяти букв%.dll




Попытка загрузки следующего файла:

– Следующий URL:
   • http://89.188.16.15/ths/lo1.dll**********
Сохраняется локально в: %SYSDIR%\%случайная комбинация из пяти букв%.dll Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%актуальное время%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%Рабочая папка вредоносной программы%\%выполненный файл%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%Шестнадцатиричное число%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %выполненный файл%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%выполненный файл%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000



Изменяются следующие ключи реестра:

Снижает настройки безопасности Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Прежнее значение:
   • "1A10"=%Настройки пользователя%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%Настройки пользователя%
   Новое значение:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%Шестнадцатиричное число%

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://65.243.103.80/80/67247**********&t=%актуальная дата%**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.

 Инфицирование – Объект внедряется в процесс.

    Все следующие процессы:
   • Explorer.exe
   • Winlogon.exe
   • %Процессы с ото
Описание добавил Monica Ghitun в(о) четверг, 19 апреля 2007 г.
Описание обновил Monica Ghitun в(о) четверг, 19 апреля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.