Полное описание

Имя:	TR/Vundo.GT
Обнаружен:	16/05/2008
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	29.824 байт.
Контрольная сумма MD5:	60d4769dcdf9eb16356af5ab135c1b5e
Версия IVDF:	7.00.04.47 - пятница, 16 мая 2008 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: Vundo trojan
   • Panda: Spyware/Virtumonde
   • Eset: Win32/Adware.Virtumonde application
   • Bitdefender: Trojan.Vundo.EMO

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\%случайная буквенная комбинация%.dll

Выполненная копия программы удаляется.

Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %случайная буквенная комбинация%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%malware dll%
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

– [HKCR\CLSID\%созданный CLSID%\InprocServer32]
   • @=" %SYSDIR%\%malware dll%"
   • "ThreadingModel"="Both"

Backdoor Устанавливает соединение с сервером
Один из следующих:
• http://82.98.235.**********
• http://65.243.103.**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) пятница, 6 июня 2008 г.
Описание обновил Thomas Wegele в(о) пятница, 6 июня 2008 г.

Назад . . . .