Имя:TR/Scar.bxqc
Обнаружен:24/03/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От среднего до высокого
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:225.280 байт.
Контрольная сумма MD5:0f728c1187e046662148ee7021e4b3b1
Версия VDF:7.10.02.73
Версия IVDF:7.10.05.192 - среда, 24 марта 2010 г.

 Общее Псевдонимы (аliases):
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\into.exe



Выполненная копия программы удаляется.



Удаляется следующий файл:
   • %SYSDIR%\wmimgr32.dl_



Создаются следующие файлы:

%SYSDIR%\wmimgr32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: W32/Sality.L.1




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.invis1blearm3333.com/**********/?id607421


– Следующие URL:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%Число%&domainname=%строка символа%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%строка символа%&dm=%строка символа%


– Следующий URL:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%Число%




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %WINDIR%\syste

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%выполненный файл%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor Открываются следующие порты:

– sam5.mom**********.com по UDP порту 5051
– sam2.123**********.com по UDP порту 5051

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\wmimgr32.dll

    Имя процесса:
   • explorer.exe


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Petre Galan в(о) пятница, 23 июля 2010 г.
Описание обновил Andrei Ivanes в(о) пятница, 30 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.