Имя:TR/Vilsel.iop
Обнаружен:15/10/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:21.504 байт.
Контрольная сумма MD5:7d96ce7f588613f0343049918de70665
Версия IVDF:7.01.06.111 - четверг, 15 октября 2009 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Похожее обнаружение:
   •  TR/Vilsel.ioq


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
Falsley reports malware infection or system proble (ru)


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://tsarbunerkadosa.com/x**********
Сохраняется локально в: %home%\Application Data\lizkavd.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.XPACK.Gen

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Новое значение:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Снижает настройки безопасности Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Прежнее значение:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Новое значение:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • A new settings file %Электронный адрес
      получателя% has just been released



Тело:
Тело письма имеет следующий вид:

   • Dear user of the %Домен получателя% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %Электронный адрес получателя% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %Домен получателя% Technical Support.


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • install.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) четверг, 15 октября 2009 г.
Описание обновил Thomas Wegele в(о) четверг, 15 октября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.