Полное описание

Имя:	TR/Monder.33280.1
Обнаружен:	12/06/2008
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	33.280 байт.
Контрольная сумма MD5:	d88afa5a154d9531f29f80af8271a2a3
Версия IVDF:	7.00.04.184 - четверг, 12 июня 2008 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan.Win32.Monder.gen
   • F-Secure: Trojan.Win32.Monder.gen
   • Grisoft: Vundo.T
   • Eset: Win32/Adware.Virtumonde application

Похожее обнаружение:
   • TR/Monder.%Число%

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\%случайная буквенная комбинация%.dll

Выполненная копия программы удаляется.

Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %случайная буквенная комбинация%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%malware dll%
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

– [HKCR\CLSID\%созданный CLSID%\InprocServer32]
   • @=" %SYSDIR%\%malware dll%"
   • "ThreadingModel"="Both"

Backdoor Устанавливает соединение с сервером
Один из следующих:
• http://82.98.235.**********
• http://65.243.103.**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 18 июня 2008 г.
Описание обновил Thomas Wegele в(о) среда, 18 июня 2008 г.

Назад . . . .