Имя:TR/Xorer.174009
Обнаружен:17/03/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:94.208 байт.
Контрольная сумма MD5:bfe68898bb94d7068582c642bfe0bc5c
Версия VDF:7.00.03.40

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Symantec: W32.Pagipef.I!inf
   •  Mcafee: W32/Xorer
   •  Kaspersky: Virus.Win32.Xorer.ew
   •  TrendMicro: PE_PAGIPEF.CA-O
   •  F-Secure: Virus.Win32.Xorer.ew
   •  Sophos: Mal/Xorer-A
   •  Panda: W32/Pagepif.G.worm
   •  VirusBuster: Win32.Xorer.O
   •  Eset: Win32/Xorer
   •  Bitdefender: Trojan.Xorer.T


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Загружает файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\com\lsass.exe
   • %SYSDIR%\%random character string from 0 to 9%.log
   • %Диск%\pagefile.pif



Создаются следующие файлы:

%Диск%\AUTORUN.INF Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%SYSDIR%\com\smss.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Xorer.DR.40960

%SYSDIR%\com\netcfg.000 Определен как: TR/Xorer.A.1

%SYSDIR%\com\netcfg.dll Определен как: TR/Xorer.A.1

%Диск%\NetApi000.sys Определен как: RKIT/Xorer.A.10

%SYSDIR%\dnsq.dll Определен как: TR/Spy.Gen




Попытка загрузки следующего файла:

– Следующий URL:
   • http://w.c0m**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр  Удаляются все значения следующих ключей реестра и их подключей:
   • [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Новое значение:
   • Type="radio"

Форматирование времени:
Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • ShowSuperHidden = dword:00000000

 Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • antivir; thunderrt6main; mcafee; facelesswndproc; bitdefender; ewido;
      monitor; mcagent; escan; firewall; dr.web; metapad; ieframe; diskgen;
      dummycom; xorer


 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\dnsq.dll

    Имя процесса:
   • %все активные процессы%


 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • www.baidu.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Alexandru Dinu в(о) четверг, 31 июля 2008 г.
Описание обновил Andrei Ivanes в(о) вторник, 16 сентября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.