Имя:Worm/Koobface.NCL.7
Обнаружен:28/01/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:62.976 байт.
Контрольная сумма MD5:2348da8fdc70dd4423875c2e06c8fe85
Версия IVDF:7.10.03.113 - четверг, 28 января 2010 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: Generic.dx
   •  Sophos: Troj/Agent-MIA
   •  Panda: W32/Koobface.HZ.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Worm.Generic.221244


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %Диск%\windows\freddy81.exe



Следующие файлы будут переписаны.
%WINDIR%\bk23567.dat
%WINDIR%\freddy81.exe



Выполненная копия программы удаляется.



Удаляются следующие файлы:
   • %Рабочая папка вредоносной программы%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %Диск%\3.reg



Создаются следующие файлы:

%Диск%\3.reg Файл является безвредным текстовым файлом со следующим содержимым:
   •

%Диск%\windows\bk23567.dat
%Рабочая папка вредоносной программы%\sd.dat
%WINDIR%\dxxdv34567.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка загрузки следующего файла:

– Следующие URL:
   • http://almullahotels.com/**********/?action=&v=%Число%&crc=%Число%
   • http://www.tomsmassagepraxis.at/**********/?action=&v=%Число%&crc=%Число%
   • http://thyselius.tv/**********/?action=&v=%Число%&crc=%Число%
   • http://www.gecahe.com/**********/?action=&v=%Число%&crc=%Число%
   • http://advance.com.my/**********/?action=&v=%Число%&crc=%Число%
   • http://www.arketwood.com/**********/?action=&v=%Число%&crc=%Число%
   • http://feda-wien.at/**********/?action=&v=%Число%&crc=%Число%
   • http://e-autosystem.gr/**********/?action=&v=%Число%&crc=%Число%
   • http://www.chimera-crew.de/**********/?action=&v=%Число%&crc=%Число%
   • http://www.jallabyah.com/**********/?action=&v=%Число%&crc=%Число%
   • http://www.herangi.com/**********/?action=&v=%Число%&crc=%Число%




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %WINDIR%\freddy81.exe


– Имя файла:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Имя файла:
   • regedit /s c:\3.reg

 Реестр Добавляется следующий ключ реестра:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://www.google.com

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) четверг, 24 июня 2010 г.
Описание обновил Petre Galan в(о) четверг, 24 июня 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.