Имя:TR/SpamBot.E
Обнаружен:19/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:55.808 байт.
Контрольная сумма MD5:64ce27a4edc375f5dcb68b8641738f34
Версия IVDF:7.10.09.151 - среда, 21 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Изменение реестра
   • Использует собственный почтовый движок

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Различные настройки Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Новое значение:
   • "id"="F15ECF88A2EC"
   • "remove"="%выполненный файл%"

 Email Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– Сгенерированные адреса


Тема:
Следующее:
   • %Электронный адрес получателя% VIAGRA
      ® Official Site -45%



Тело:
– Содержит HTML код.



Письмо выглядит следующим образом:


 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://19**********3.62/82567/kelly.php

В результате обеспечиваются функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.


Возможности удаленного контроля:
    • Отправить электронную почту
    • Относительно спама

Описание добавил Patrick Schoenherr в(о) четверг, 22 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) четверг, 22 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.