Имя:TR/OnlineG.118269.B
Обнаружен:09/12/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:118.269 байт.
Контрольная сумма MD5:5979a4c8cc92f4a074b97be89539b927
Версия IVDF:7.01.00.208 - вторник, 9 декабря 2008 г.

 Общее Метод распространения:
• Autorun feature (ru)


Псевдонимы (аliases):
   •  Sophos: Mal/EncPk-CE
   •  Panda: W32/Lineage.JBP
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.Generic.2291813


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\amvo.exe
   • %Диск%\00hoeav.com



Файл будет переписан.
%SYSDIR%\drivers\vga.sys



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%SYSDIR%\amvo0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Vundo.Gen

%SYSDIR%\optyhww0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.XPACK.Gen

%TEMPDIR%\ker1.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.OnLi.123904

%TEMPDIR%\azqy.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.ZPACK.Gen

%SYSDIR%\urretnd.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.Agent.ahdz

%Диск%\d1vmq.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.Agent.ahdz




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://vfgtyp.com/fm4/**********
Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://www.gdgft76.com/fm4/**********
Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "amva"="%SYSDIR%\amvo.exe"
   • "cbvcs"="%SYSDIR%\urretnd.exe"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="afvbgy.m"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Connections]
   Новое значение:
   • "DefaultConnectionSettings"=hex:46,00,00,00,05,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,90,91,34,CA,C8,6D,CA,01,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,C0,A8,6B,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • "CheckedValue"=dword:0x00000000

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 24 ноября 2009 г.
Описание обновил Petre Galan в(о) среда, 25 ноября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.