Имя:BDS/WinO.A
Обнаружен:09/03/2010
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:63.639 байт.
Контрольная сумма MD5:463f93ee63271f385e100aafb53f7790
Версия IVDF:7.10.05.08 - вторник, 9 марта 2010 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Выполненная копия программы удаляется.



Удаляется следующий файл:
   • %TEMPDIR%\fig24.tmp



Создаются следующие файлы:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Gen

– "%Рабочая папка вредоносной программы%\%executed file.bat%"



Попытка загрузки следующего файла:

– Следующие URL:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • cmd /c start iexplore -embedding


– Имя файла:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– Имя файла:
   • cmd /c "%TEMPDIR%\fig24.bat"


– Имя файла:
   • cmd /c "%Рабочая папка вредоносной программы%\%executed file.bat%"

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Новое значение:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   Новое значение:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 6 апреля 2010 г.
Описание обновил Petre Galan в(о) вторник, 6 апреля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.