Имя:TR/Keylogger.avk
Обнаружен:29/11/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:112.008 байт.
Контрольная сумма MD5:a3e928635256073ca0e5b90388ee6efc
Версия VDF:7.00.01.23
Версия IVDF:7.00.01.24 - четверг, 29 ноября 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Generic Keylogger.g trojan
   •  Kaspersky: Trojan.Win32.VB.avk
   •  F-Secure: Trojan.Win32.VB.avk
   •  Panda: Trj/Keylogger.BN


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются собственные копии:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh



Создается файл:

– C:\s5d46a.fjg Файл является безвредным текстовым файлом со следующим содержимым:
   • %похищенная информация%

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Новое значение:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   Новое значение:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Новое значение:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Новое значение:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.e223pg.awardspace.co.uk/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Свободное место на диске
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PePetite 2.2

Описание добавил Monica Ghitun в(о) четверг, 29 ноября 2007 г.
Описание обновил Monica Ghitun в(о) пятница, 30 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.