Имя:TR/Spy.VB.QU
Обнаружен:13/03/2007
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:189.692 байт.
Версия IVDF:6.38.00.48 - вторник, 13 марта 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.SillyFDC
   •  Mcafee: BackDoor-AKZ
   •  Kaspersky: Trojan-Spy.Win32.VB.qu
   •  TrendMicro: WORM_VB.CVY
   •  F-Secure: Trojan:W32/Agent.AHC
   •  Panda: Bck/Amitis.J
   •  Eset: Win32/Spy.VB.QU trojan
   •  Bitdefender: Trojan.Mailspam.J


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются собственные копии:
   • %TEMPDIR%\31550.exe
   • %SYSDIR%\odbcasvc.exe


Архивация:
Файлы создаются и сохраняются в архивах.

Производится поиск в следующей директории:
   • %APPDATA%\Microsoft\Office\Recent\

Принимается во внимание следующий тип файла:
   • .doc

Имя файла архива::
   • %TEMPDIR%\%актуальная дата%_%актуальное время%.uha



Создаются следующие файлы:

– Незараженные файлы:
   • %SYSDIR%\uha.exe
   • %SYSDIR%\mswinsck.ocx

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\attachment%актуальная дата%_%актуальное время%.tmp
   • %TEMPDIR%\mail.tmp

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\odbcasvc.exe
   • "DisplayName"="ODBC Administration Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Microsoft Data Access - ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Security
   • Security"=%шестнадцатиричное значение%

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Enum
   • "0"="Root\\LEGACY_ODBCASVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000
   • "Service"="odbcasvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="odbcasvc"



Изменяется следующий ключ реестра:

Различные настройки Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Прежнее значение:
   • "NoDriveTypeAutoRun"=dword:0000009d
   Новое значение:
   • "NoDriveTypeAutoRun"=dword:00000091

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Отправитель письма:
   • esmtp01@tom.com


Кому:
Получателем письма является:
   • esmtp01@tom.com


Тема:
Следующее:
   • Spider%Число%[%Имя
      компьютера%\%актуальное имя
      пользователя%]



Прикрепленный файл:
Следующее имя прикрепленного файла:
   • %актуальная дата%_%актуальное
      время%.uha

Прикрепленный файл является копией созданного файла: %TEMPDIR%\%актуальная дата%_%актуальное время%.uha

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Alexander Neth в(о) пятница, 25 июля 2008 г.
Описание обновил Andrei Gherman в(о) пятница, 1 августа 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.