Полное описание

Имя:	TR/Disabler.i.50
Обнаружен:	13/03/2009
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	29.377 байт.
Контрольная сумма MD5:	89c3f6763a379f4cf7ba0766b4798c26
Версия VDF:	7.01.02.164
Версия IVDF:	7.01.02.171 - пятница, 13 марта 2009 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: BackDoor-DIY
   • Kaspersky: Trojan.Win32.Disabler.i
   • F-Secure: Trojan.Win32.Disabler.i
   • Eset: Win32/Disabler.I
   • Bitdefender: Trojan.RegistryDisabler

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
• %home%\Start Menu\Programs\Startup\systemID.pif
• %SYSDIR%\Flashy.exe

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Flashy Bot="%SYSDIR%\Flashy.exe"

Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions=dword:00000001

Изменяются следующие ключи реестра:

Отключение Windows XP Firewall:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Новое значение:
   • Start=dword:00000004

Отключение редактора реестра и менеджера задач:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • "DisableTaskMgr" = 1
   • "DisableRegistryTools" = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • HideFileExt=dword:00000001
     Hidden=dword:00000002

Backdoor Открывается порт:

– net.exe по TCP порту 23 для обеспечения удаленной оболочки

Разное Мьютекс:
Создается мьютекс:
• ||Flashy||

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG 2.00

Описание добавил Ana Maria Niculescu в(о) понедельник, 4 мая 2009 г.
Описание обновил Ana Maria Niculescu в(о) понедельник, 4 мая 2009 г.

Назад . . . .