Имя:TR/Vilsel.ior
Обнаружен:20/10/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:44.544 байт.
Контрольная сумма MD5:e6bc86359946024ea7547ae8e9915e61
Версия IVDF:7.01.06.127 - вторник, 20 октября 2009 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Packed.Win32.Krap.ah
   •  F-Secure: Trojan-Downloader:W32/Fakerean.AG
   •  Eset: Win32/Kryptik.AVJ
   •  Bitdefender: Trojan.FakeAV.VC


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
Falsley reports malware infection or system proble (ru)


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://ertanue5skayert.com/**********M
Сохраняется локально в: %home%\Application Data\lizkavd.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.FraudLo.osj

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mserv"="%home%\Application Data\seres.exe"
   • "svchost"="%home%\Application Data\svcst.exe"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Новое значение:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Снижает настройки безопасности Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Прежнее значение:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Новое значение:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • Conflicker.B Infection Alert



Тело:
Тело письма имеет следующий вид:

   • Dear Microsoft Customer,
     
     Starting 18/10/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
     
     To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
     
     Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
     
     Regards,
     Microsoft Windows Agent
     2 (Hollis)
     Microsoft Windows Computer Safety Division


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • install.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) вторник, 20 октября 2009 г.
Описание обновил Philipp Wolf в(о) вторник, 20 октября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.