Имя:BDS/Glecia.D
Обнаружен:20/10/2009
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:61.440 байт.
Контрольная сумма MD5:3b2064e0b51f242d1955cb402653201c
Версия IVDF:7.01.06.126 - вторник, 20 октября 2009 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Packed.Win32.Krap.x
   •  F-Secure: Packed.Win32.Krap.x
   •  Eset: Win32/Kryptik.AWF


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы %SYSDIR%\sys.dat После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Glecia.A

%SYSDIR%\bhdvgtueyitf.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Glecia.A

– c:\%Рабочая папка вредоносной программы%\sys.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKCR\CLSID\{%CLSID%}\InProcServer32]
   • "(Default)"=hex(2):%шестнадцатиричное значение%
   • "ThreadingModel"="Apartment"



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • ^%\E$@@
   • n%^a&^()%b
   • (^$%l%(^%$e(^& ^%\
   • $%r$$^%o$
   • (%w@$%
   • $s%^^%$e%^(()(*& %
   • E*&^&x$(%%t%$
   • $@e^^%@(n
   • $%s))
   • %i*^o$%$^$^n(&*s(%^&="yes"

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • DHL service. Please get your parcel. Delivery NR.163400



Тело:
Тело письма имеет один из следующих видов:
   • Hello!
   •
   • The courier company was not able to deliver your parcel by your address.
   • Cause: Error in shipping address.
   •
   • You may pickup the parcel at our post office personaly!
   •
   • Please note!
   • The shipping label is attached to this e-mail.
   • Please print this label to get this package at our post office.
   •
   •
   • Thank you for attention.
   • DHL Global Forwarding Services.


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • DHL_package_label_6f1aa.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Tobias Gruber в(о) вторник, 20 октября 2009 г.
Описание обновил Philipp Wolf в(о) вторник, 20 октября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.