Полное описание

Имя:	TR/Scar.capr
Обнаружен:	28/04/2010
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	96.768 байт.
Контрольная сумма MD5:	9b4fdf7194e83f00564bbb81ae7b8590
Версия IVDF:	7.10.06.229 - среда, 28 апреля 2010 г.

Общее Метод распространения:
   • Функция автозапуска

Псевдонимы (аliases):
   • Bitdefender: Trojan.Generic.3854167
   • Panda: Trj/Sinowal.XAO
   • Eset: Win32/Spy.Zbot.UN

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

Файлы Создаются собственные копии:
   • %SYSDIR%\sdra64.exe
   • %Диск%\%выполненный файл%

Создаются следующие файлы:

– %Диск%\Autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

– %SYSDIR%\lowsec\user.ds
– %SYSDIR%\lowsec\local.ds
– %SYSDIR%\lowsec\user.ds.lll

Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.your-up-search.net/up-date/**********

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\software\microsoft\windows nt\currentversion\winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

Добавляются следующие ключи реестра:

– [HKEY_USERS\S-1-5-19\software\microsoft\internet explorer\main]
   • "Start Page"=""

– [HKEY_USERS\S-1-5-19\software\microsoft\windows nt\currentversion\
   network]
   • "UID"="%Имя компьютера%_001A9655"

– [HKLM\software\microsoft\windows nt\currentversion\network]
   • "UID"="%Имя компьютера%_001A89C3"

– [HKEY_USERS\S-1-5-20\software\microsoft\internet explorer\main]
   • "Start Page"=""

– [HKEY_USERS\S-1-5-20\software\microsoft\windows nt\currentversion\
   network]
   • "UID"="%Имя компьютера%_001A930A"

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   • "ParseAutoexec"="1"

Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • winlogon.exe

– Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • svchost.exe

– Вставляется в процесс в качестве удаленного программного потока.

Включено во все процессы.

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 24 августа 2010 г.
Описание обновил Petre Galan в(о) вторник, 24 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты