Имя:TR/Onlinegames.B
Обнаружен:19/05/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~100.000 байт.
Версия IVDF:7.00.04.63 - вторник, 20 мая 2008 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Похожее обнаружение:
   •  TR/Onlinegames.B.%Число%


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\amvo.exe



Создает собственную копию с именем файла из списка
– Кому: %Диск%\ С одним из следующих имен:
   • %случайная буквенная комбинация%.exe
   • %случайная буквенная комбинация%.bat
   • %случайная буквенная комбинация%.cmd
   • %случайная буквенная комбинация%.com




Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\%случайная буквенная комбинация%.sys
   • %TEMPDIR%\%случайная буквенная комбинация%.dll

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%TEMPDIR%\%случайная буквенная комбинация%.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: RKIT/Vanti

%TEMPDIR%\%случайная буквенная комбинация%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.NSPM.Gen

%SYSDIR%\amvo0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.NSPM.Gen

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • Hidden = %Настройки пользователя%
   • ShowSuperHidden = %Настройки пользователя%
   Новое значение:
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Прежнее значение:
   • CheckedValue = %Настройки пользователя%
   Новое значение:
   • CheckedValue = 0

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • Maple Story
   • Lineage

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\amvo0.dll

    Имя процесса:
   • explorer.exe

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) пятница, 13 июня 2008 г.
Описание обновил Andrei Gherman в(о) пятница, 13 июня 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.