Имя:TR/Vilsel.swd
Обнаружен:15/02/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:34.308 байт.
Контрольная сумма MD5:98d00c91854a13f839b1b923961520f8
Версия IVDF:7.10.04.59 - понедельник, 15 февраля 2010 г.

 Общее Метод распространения:
   • Autorun feature (ru)


Псевдонимы (аliases):
   •  Sophos: Mal/EncPk-ND
   •  Panda: Trj/Vilsel.U
   •  Eset: Win32/AutoRun.FakeAlert.DU
   •  Bitdefender: Trojan.Zbot.HNM


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %Диск%\autorun.exe
   • %SYSDIR%\logon.exe



Файл будет переписан.
%SYSDIR%\drivers\aec.sys



Выполненная копия программы удаляется.



Удаляются следующие файлы:
   • %TEMPDIR%\rdl3.tmp.exe
   • %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
   • %TEMPDIR%\rdl2.tmp
   • %TEMPDIR%\alg.exe
   • %TEMPDIR%\rdl1.tmp



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%TEMPDIR%\rdl3.tmp.exe
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Ui.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dll
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Local.dtd
%TEMPDIR%\rdl1.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: RKIT/Bezopi.G

%TEMPDIR%\rdl2.tmp
%TEMPDIR%\alg.exe



Попытка загрузки следующих файлов:

– Следующий URL:
   • http://wc-lost.info/**********


– Следующий URL:
   • http://teamstream.biz/**********


– Следующие URL:
   • http://gp2x.ws/zg/**********?v=%Число%&rs=&n=%Число%&uid=%Число%
   • http://gp2x.ws/zg/**********?v=%Число%&rs=&n=%Число%&uid=%Число%&cc=%Число%


– Следующий URL:
   • http://wc-zone.info/common/**********




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %TEMPDIR%\rdl3.tmp.exe


– Имя файла:
   • %TEMPDIR%\\alg.exe


– Имя файла:
   • netsh.exe firewall add allowedprogram program = "%TEMPDIR%\alg.exe" name = "Application Layer Gateway Service" mode = ENABLE scope = ALL profile = ALL


– Имя файла:
   • netsh.exe firewall add allowedprogram program = "%SYSDIR%\lsass.exe" name = "LSA Shell" mode = ENABLE scope = ALL profile = ALL

 Реестр Создание следующих элементов для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\alg.exe"="%TEMPDIR%\alg.exe:*:Enabled:Application Layer Gateway Service"
   • "%SYSDIR%\lsass.exe"="%SYSDIR%\lsass.exe:*:Enabled:LSA Shell"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SwUpdate"="{003541A1-3BC0-1B1C-AAF3-040114001C01"

– [HKLM\SOFTWARE\Classes\CLSID\{003541A1-3BC0-1B1C-AAF3-040114001C01}\
   InProcServer32]
   • "@"="%ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dl"
   • "ThreadingModel"="Apartmen"

– [HKLM\SOFTWARE\Classes\CLSID\
   {003541A1-3BC0-1B1C-AAF3-040114001C01}]
   • "@"="SwUpdat"



Изменяются следующие ключи реестра:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Новое значение:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "Shell"="Explorer.exe logon.exe"

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Все следующие процессы:
   • svchost.exe
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 14 мая 2010 г.
Описание обновил Petre Galan в(о) пятница, 14 мая 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.