Имя:TR/Hosts.AQ.1
Обнаружен:09/08/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:2.724.864 байт.
Контрольная сумма MD5:575cb9dd8434d2e074ba24a63ac51b25
Версия IVDF:7.10.10.121 - понедельник, 9 августа 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Операционные системы:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файл
   • Создает вредоносные файлы
   • Инфицирует файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Изменяет следующий файл:
   • %SYSDIR%\drivers\etc\hosts



Копируется следующий файл:
    •  %SYSDIR%\drivers\etc\hosts в %SYSDIR%\drivers\etc\hosts_new



Выполненная копия программы удаляется.



Создаются следующие файлы:

– %ALLUSERSPROFILE%\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.cfg После полного завершения процесса создания он запускается на выполнение. Данный текстовый файл не заражен вирусом. Он содержит информацию о самой программе.
%SYSDIR%\drivers\etc\hosts_new

 Реестр Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Internet Explorer]
   Новое значение:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Carlos Valero Llabata в(о) пятница, 13 августа 2010 г.
Описание обновил Carlos Valero Llabata в(о) пятница, 13 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.