Имя:TR/FakeAV.LBQ
Обнаружен:19/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:45.568 байт.
Контрольная сумма MD5:d7c2473852f25cc0a06094d9e9130Fac
Версия IVDF:7.10.09.110 - понедельник, 19 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.TDSS.ur
   •  F-Secure: Trojan.FakeAV.LBQ
   •  Sophos: Mal/TDSSPk-AD
   •  Bitdefender: Trojan.FakeAV.LBQ
   •  Microsoft: Trojan:Win32/Meredrop
   •  AVG: Agent2.AZMO
   •  VirusBuster: Trojan.Meredrop.ABKU
   •  Eset: Win32/Olmarik.ABS
   •  Sunbelt: Trojan.Win32.Meredrop
   •  GData: Trojan.FakeAV.LBQ
   •  AhnLab: Backdoor/Win32.TDSS
   •  DrWeb: Trojan.PWS.IpDiscover.17
   •  Ikarus: Trojan.Win32.Meredrop


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Выполняет перенаправление на инфицированный веб-сайт

 Файлы Создается собственная копия:
   • %APPDATA%\b3bfd04c.exe



Создаются следующие файлы:

%SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/FakeAV.LBQ

%WINDIR%\Tasks\b3bfd04c.job
%SYSDIR%\ernel32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/FakeAV.LBQ

 Реестр Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Прежнее значение:
   • "UacDisableNotify"=dword:00000000
   Новое значение:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Прежнее значение:
   • "NameServer"="%IP адрес%"
   • "DhcpNameServer"="%IP адрес%"
   Новое значение:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Прежнее значение:
   • "NameServer"="%IP адрес%"
   • "DhcpNameServer"="%IP адрес%"
   Новое значение:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

 Инфицирование – Включает себя в процессы.

    Все следующие процессы:
   • spoolsv.exe
   • svchost.exe


Описание добавил Patrick Schoenherr в(о) понедельник, 26 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) понедельник, 26 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.