Имя:TR/Oficla.AA
Обнаружен:07/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:34.816 байт.
Контрольная сумма MD5:ee97199dec81e92d2a1013c827afd5bc
Версия IVDF:7.10.09.29 - среда, 7 июля 2010 г.

 Общее Метод распространения:
   • Email


Операционные системы:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %TEMPDIR%\svchost.exe



Создаются следующие файлы:

%TEMPDIR%\tmpf5c96f2a.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
%temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
%temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.um**********oom5.gif
Сохраняется локально в: %TEMPDIR%\system.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Ikcie]
   • %шестнадцатиричное значение%

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • DHL Tracking Number



Тело:
Тело письма имеет следующий вид:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • DHL_INVOICE23.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.



Письмо выглядит следующим образом:


 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Patrick Schoenherr в(о) среда, 7 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) среда, 7 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.