Имя:TR/Hamweq.A
Обнаружен:15/10/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:65.536 байт.
Контрольная сумма MD5:0a55c1a79534b88592487c92c54f5b69
Версия IVDF:7.01.06.111 - четверг, 15 октября 2009 г.

 Общее Псевдонимы (аliases):
   •  Sophos: Mal/Delf-Z
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot.ANC
   •  Bitdefender: Backdoor.Bot.91975


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра




   Continuously creates a child process of itself and exits the parent process, within an interval of 1 sec, making difficult to locate and terminate from task manager.

 Файлы Создается собственная копия:
   • %SYSDIR%\svhost.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Petre Galan в(о) понедельник, 23 ноября 2009 г.
Описание обновил Petre Galan в(о) понедельник, 23 ноября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.