Имя:TR/Drop.Decay.atv
Обнаружен:23/10/2009
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:70.656 байт.
Контрольная сумма MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Версия IVDF:7.01.06.142 - пятница, 23 октября 2009 г.

 Общее Метод распространения:
• Autorun feature (ru)


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %WINDIR%\conmsyrtl.exe
   • %Диск%\driver\usb\usb3.EXE



Создаются следующие файлы:

%Диск%\driver\usb\Desktop.ini
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Новое значение:
   • "%Рабочая папка вредоносной программы%\%выполненный файл%"="%Рабочая папка вредоносной программы%\%выполненный файл%:*:Enabled:Sistema de Comm"

 P2P    Производится поиск содержащих одну из следующих последовательностей знаков папок
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   При успешном завершении поиска создаются следующие файлы:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Файлы являются копиями потенциально опасной программы

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– MSN Messenger

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: ns3.metr**********.com
Порт: 6567
Пароль сервера: pr1v4d0onl1n3r
Канал: #delawich#
Имя: [SH|USA|00|P|%Число%]
Пароль: c1rc0s0leil


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Начать DDoS SYN атаку
    • Загрузить файл
    • Обновляется самостоятельно
    • Посещение веб-страницы

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) среда, 3 февраля 2010 г.
Описание обновил Petre Galan в(о) пятница, 5 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.