Имя:TR/Inject.81409.BI
Обнаружен:22/04/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:81.409 байт.
Контрольная сумма MD5:b2dfa22025a1043e3a12837222f6753f
Версия IVDF:7.10.06.171 - четверг, 22 апреля 2010 г.

 Общее Псевдонимы (аliases):
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %TEMPDIR%\nvdis.exe



Создается файл:

%TEMPDIR%\google_cache112.tmp



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


– Имя файла:
   • taskkill /IM winlog.exe


– Имя файла:
   • taskkill /IM svchost.exe


– Имя файла:
   • taskkill /IM csrss.exe


– Имя файла:
   • taskkill /IM lsass.exe


– Имя файла:
   • "%TEMPDIR%\nvdis.exe"

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: rix.mes**********.su
Порт: 1234
Канал: #l#
Имя: {NEW}[USA][XP-%версия Windows%]%Число%

 Завершение процесса Список завершаемых процессов:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Petre Galan в(о) вторник, 6 июля 2010 г.
Описание обновил Petre Galan в(о) вторник, 6 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.