Имя:TR/Spy.Agent.144896
Обнаружен:28/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Высокий
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:144.896 байт.
Контрольная сумма MD5:d3de1f75b8151c284ab04819994c0Dc9
Версия IVDF:7.10.09.249 - среда, 28 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Downloader.MisleadApp
   •  Kaspersky: Trojan.Win32.FraudPack.bcet
   •  TrendMicro: TROJ_FAKEAV.SMXG
   •  F-Secure: Trojan:W32/Cosmu.Z
   •  Sophos: Mal/Behav-321
   •  Bitdefender: Trojan.Downloader.FakeAlert.FN
   •  Microsoft: TrojanDownloader:Win32/FakeRean
   •  AVG: Crypt.YBS
   •  Panda: Adware/DesktopSecurity2010
   •  PCTools: Downloader.MisleadApp
   •  VirusBuster: Trojan.Bredolab.DDF
   •  Eset: Win32/TrojanDownloader.FakeAlert.BAT
   •  GData: Trojan.Downloader.FakeAlert.FN
   •  AhnLab: Win-Trojan/Fakeav.144896.G
   •  Authentium: W32/Trojan3.BWP
   •  DrWeb: Trojan.DownLoad1.64194
   •  Fortinet: W32/Agent.AEB5!tr.dldr
   •  Ikarus: Trojan.Win32.FakeAV


Операционные системы:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %PROGRAM FILES%\MSN\MSNCoreFiles\Setup\MSNUNINCommunications.exe
   • %PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe
   • %PROGRAM FILES%\Windows Media Player\MicrosoftRPlayer9.00.00.3250.exe
   • %PROGRAM FILES%\MSN\MSNCoreFiles\msnmetalupdate.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.ex
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\1036\ApplicationReporting.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\qas1.tmp
   • %TEMPDIR%\qas2.tmp
   • %TEMPDIR%\qas3.tmp
   • %TEMPDIR%\qas4.tmp
   • %TEMPDIR%\qas5.tmp

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%выполненный файл%"="%Рабочая папка вредоносной программы%\%выполненный файл%"
   • "KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"
   • "MicrosoftMicrosoft"="%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.exe"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "%выполненный файл%"="%Рабочая папка вредоносной программы%\%выполненный файл%"
   • "UpdateRegUtils"="%PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe"

– [HKLM\SOFTWARE\Microsoft\MediaPlayer\Setup\Files]
   • "1"=%шестнадцатиричное значение%
   • "2"=%шестнадцатиричное значение%
   • "3"=%шестнадцатиричное значение%
   • "4"=%шестнадцатиричное значение%

Описание добавил Carlos Valero Llabata в(о) четверг, 12 августа 2010 г.
Описание обновил Carlos Valero Llabata в(о) четверг, 12 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.