Имя:TR/VB.Small.122882
Обнаружен:14/04/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:122.882 байт.
Контрольная сумма MD5:8e72e74e83a9d84cd45099e1182c2439
Версия IVDF:7.10.06.71 - среда, 14 апреля 2010 г.

 Общее Псевдонимы (аliases):
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.6894
   •  Panda: W32/ButterflyBot.C.worm
   •  Eset: Win32/Boberog.AK


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Снижает уровень настроек безопасности
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\secfil.exe



Создается файл:

– C:\a.txt



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • "%WINDIR%\secfil.exe"

 Реестр Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%выполненный файл%"="%выполненный
      файл%:*:Enabled:Userinit"



Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\secfil.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: stores.del**********.net
Порт: 1234
Канал: #dl#
Имя: n[USA|XP]%Число%

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Petre Galan в(о) четверг, 22 июля 2010 г.
Описание обновил Petre Galan в(о) четверг, 22 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.