Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Fakealert.C.17
Обнаружен:15/10/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:171.024 байт.
Контрольная сумма MD5:d6084176f7ef6ff28c544e7a9f8adb94
Версия IVDF:7.01.06.114 - четверг, 15 октября 2009 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: W32/Autorun.worm
   •  Panda: W32/Autorun.JPK
   •  Eset: Win32/AutoRun.Agent.TK
   •  Bitdefender: Worm.Generic.95428


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Выполненная копия программы удаляется.



Удаляется следующий файл:
   • %SYSDIR%\RCX3.tmp



Создаются следующие файлы:

%SYSDIR%\abfdcfedc.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.wif.9

%TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe



Попытка загрузки следующего файла:

– Следующий URL:
   • http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
На момент проверки данный файл не был доступен.

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

 Инфицирование – Вставляется в процесс в качестве программного потока.

    Имя процесса:
   • winlogon.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) пятница, 5 марта 2010 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.