Имя:TR/Ransom.Agent.JU
Обнаружен:01/02/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:192.512 байт.
Контрольная сумма MD5:0c13905ce4c33f29496cae8eb4e63a95
Версия IVDF:7.10.03.141 - понедельник, 1 февраля 2010 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: W32/Akbot
   •  Sophos: Troj/QakBot-D
   •  Panda: Trj/Sinowal.WUJ
   •  Eset: Win32/Spy.Zbot.UN
   •  Bitdefender: Trojan.Zbot.HMK


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\sdra64.exe



Удаляется следующий файл:
   • %SYSDIR%\lowsec\user.ds



Создаются следующие файлы:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"



Добавляются следующие ключи реестра:

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D



Изменяются следующие ключи реестра:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Новое значение:
   • "ParseAutoexec"="1"

Отключение Windows Firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Новое значение:
   • "EnableFirewall"=dword:0x00000000

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Новое значение:
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Новое значение:
   • "ParseAutoexec"="1"

 Backdoor Открывается порт:

– 239.255.2**********.2********** по UDP порту 1900

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • winlogon.exe



– Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • svchost.exe



– It injects itself as a remote threat into processe (ru)

It is injected into all processes. (ru)


 Разное Интернет соединение:

Производится запрос имени со следующим доменом:
   • dnsplugweb.com

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 9 апреля 2010 г.
Описание обновил Petre Galan в(о) четверг, 15 апреля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.