Имя:TR/iBill.AJ
Обнаружен:23/04/2007
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Да
Отмеченные факты заражения:Высокий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:117.976 байт.
Контрольная сумма MD5:91345ab1a13dbb5a27660324779402a8
Версия VDF:6.38.01.19
Версия IVDF:6.38.01.21 - понедельник, 23 апреля 2007 г.

 Общее Псевдоним (alias):
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.bh


Операционная система:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл

 Файлы Создается файл:

%SYSDIR%\ipv6monl.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Bzub.IS

 Реестр С добавлением следующих ключей регистрируется BHO (browser helper object):

– HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32\
   • "default" = "c:\windows\\System32\\ipv6monl.dll"
   • "ThreadingModel"="apartment"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List\
   • "C:\Program Files\\Internet Explorer\\IEXPLORE.EXE" = "C:\Program
      Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"



Добавляются следующие ключи реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load
   • "net_insll"=dword:460a10be
   • "worg"=hex:7b,d5,d9,c2,78,6d,50,41,7a,7e,4b,1e,f5,c0,a8,cc,64,44,6a,00,fe,df,\
   • 8b,3e,33,05,90,93,78,3a,fe,f9,73,2b,a0,e7,60,31,d4
   • "cmpid"=hex:ce,1c,d9,5f,20,58,66,08,03,69,25,4f,a9,9a,86,d1,34,18,01,2b,d2,fb,\
   • a5,22,76,43,96,e1,20,0f,c2,85,42,74,b1,8d,25,1b,e2,c0,06,d0,a0,0f,d1,dd,73,\
   • 94,34,59,f6,1b,a8,cf,5d,e9,72,80,62,aa,24,b8,47,c4,35,b8,46,cb

Описание добавил Dennis Elser в(о) понедельник, 23 апреля 2007 г.
Описание обновил Alexander Vukcevic в(о) понедельник, 23 апреля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.