Имя:TR/Dldr.Zlob.AM
Обнаружен:11/06/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:178.688 байт.
Контрольная сумма MD5:6d8e646742bceca3136cdeac01cb13d0
Версия IVDF:7.10.08.65 - понедельник, 14 июня 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Downloader-CEW.b
   •  Kaspersky: Packed.Win32.Katusha.n
   •  TrendMicro: TROJ_FAKEAV.SMA1
   •  Sophos: Mal/FakeAV-CX
   •  Avast: Win32:MalOb-BL
   •  Microsoft: TrojanDownloader:Win32/Renos.LX
   •  AVG: FakeAV.BXR
   •  Panda: Trj/Zlob.KH
   •  PCTools: Trojan.FakeAV
   •  Eset: Win32/Kryptik.EZX
   •  AhnLab: Win-Trojan/Katusha.178688.M


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\Nxihaa.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%WINDIR%\Tasks\{%CLSID%}.job Запланированная задача в виде данного файла запускается в заранее определенное время.
%TEMPDIR%\a.dat После полного завершения процесса создания он запускается на выполнение. Данный текстовый файл не заражен вирусом. Он содержит информацию о самой программе.

 Реестр Добавляется следующий ключ реестра:

– [HKCU\Software\V71IQL7HI7]
   • NpuO="FOqmU9PNRhfd9w=="
   • NpuZ="Gbv+C4eSExjnyIpWf4+pYXAo/2QGxA/X94OiMMEM3fg21bnyyVNA5swcCBRfcPq52epvdMeg//Fz+p6csSavmjbegPbMh4ax7rfcfKkoeMvrtfbyG0YYMciBwobC04dKWFLpaMfWzLhqf0dQgXOSD7d7IoDtQGco+B8WFglQ5et5wxHVgh5kOpchQjxcIpmhLuQnWClc2ZKZJMLezx4Yq0zGuC4/9Y0AhF0GRGl2xYDgIk5EV2+LYI34Qv74AMzp3Q=="
   • NkeG=dword:00015180
   • NkeJ=dword:00000008
   • Nke9=dword:00000e10
   • NkeO=dword:000000d5
   • NkeC=dword:00000064
   • NkeT=dword:00000001
   • NkeFC=dword:00000000
   • NkeZ=dword:01cb0a31
   • NkeF=dword:6f84a3b0
   • NpuJ="ZuLNIa64IWuvvLI2R7yOE08V8iFnqi/6lPGZOoQgs7J0x4Dgk1NI9w=="

Описание добавил Carlos Valero Llabata в(о) вторник, 10 августа 2010 г.
Описание обновил Carlos Valero Llabata в(о) вторник, 10 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.