Полное описание

Имя:	TR/Banker.Banz.dfg
Обнаружен:	13/07/2010
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	5.408.768 байт.
Контрольная сумма MD5:	4cc5e9f5b28be7c29abee34f51f78a30
Версия IVDF:	7.10.09.77 - вторник, 13 июля 2010 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-Banker.Win32.Banz.dfg
   • F-Secure: Trojan-Banker.Win32.Banz.dfg
   • Eset: Win32/Spy.Banker.UDU
   • Bitdefender: Trojan.Crypt.Delf.B

Операционные системы:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию

Реестр – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctmon2"="C:\Arquivos de programas\Sidebar\new.exe"
   • "Sidebr"="C:\Arquivos de programas\Sidebar\new.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "msnmsr"="C:\Arquivos de programas\Sidebar\new.exe"

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKCU\Software\AVG Security Toolbar]
   • "moveUnderTabs"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   Firewal+lPolicy]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000

Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   Прежнее значение:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Новое значение:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Прежнее значение:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Новое значение:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

Описание добавил Patrick Schoenherr в(о) вторник, 13 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) среда, 14 июля 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты