Имя:TR/Dldr.FraudLoad.51200
Обнаружен:16/09/2009
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:51.200 байт.
Контрольная сумма MD5:2277c47fd42f0D448dab0C97493e6acc
Версия VDF:7.01.05.247
Версия IVDF:7.01.05.249 - среда, 16 сентября 2009 г.

 Общее Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра




   Elevates itself with SeShutdownPrivilege in order to restart the system.

 Файлы Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\braviax.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Renos.56

%SYSDIR%\dllcache\figaro.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen




Попытка загрузки следующего файла:

– Следующие URL:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.FraudLoad.fnm

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"



Удаляется значение следующего ключа реестра:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky



Изменяются следующие ключи реестра:

Снижает настройки безопасности Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Новое значение:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Mystic Compressor

Описание добавил Petre Galan в(о) среда, 16 сентября 2009 г.
Описание обновил Petre Galan в(о) среда, 16 сентября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.