Имя:TR/PSW.Papras.JN
Обнаружен:27/03/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:66.048 байт.
Контрольная сумма MD5:8c00c01185fd4cb20d8a91b307e7e39f
Версия IVDF:7.01.02.228 - пятница, 27 марта 2009 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Infostealer.Snifula.C
   •  Kaspersky: Trojan-PSW.Win32.Papras.jn
   •  F-Secure: Trojan-PSW.Win32.Papras.jn
   •  Sophos: Troj/Zbot-BS
   •  Eset: Win32/PSW.Papras trojan
   •  Bitdefender: Trojan.Inject.UD


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\9129837.exe




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %WINDIR%\new_drv.sys
Применяется для сокрытия процесса менеждера задач. Определен как: TR/Rootkit.Gen


– Имя файла:
   • %Рабочая папка вредоносной программы%\abcdefg.bat
Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\\9129837.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=dword:%шестнадцатиричное значение%
   • "k2"=dword:%шестнадцатиричное значение%
   • "version"="5"

 Backdoor Открывается порт:
к произвольному TCP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=%Число%&version_id=5&passphrase=%случайная буквенная комбинация%&socks=%открытый порт%&version=&crc=00000000

В результате обеспечиваются функции скрытого удаленного управления.

Передает информацию о:
    • Hardware
    • Открытый порт

 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Andreas Feuerstein в(о) среда, 8 апреля 2009 г.
Описание обновил Andreas Feuerstein в(о) среда, 8 апреля 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.