Имя:TR/Drop.Typic.bed
Обнаружен:12/05/2010
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:772.608 байт.
Контрольная сумма MD5:cc1d492a772b8572c27edaa4c29e5d86
Версия IVDF:7.10.03.17

 Общее Методы распространения:
   • Функция автозапуска
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Sophos: Mal/CryptBox-A
   •  Bitdefender: Win32.Worm.Merond.A
   •  Panda: Bck/Spybot.AKG
   •  Eset: Win32/Merond.AC


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %Диск%\dir\install\install\jtdll.exe
   • %Диск%\RECYCLER\%CLSID%\jtdll.exe



Файл будет переписан.
– C:\dir\install\install\jtdll.exe



Выполненная копия программы удаляется.



Удаляется следующий файл:
   • %TEMPDIR%\XX--XX--XX.txt



Создаются следующие файлы:

%TEMPDIR%\XX--XX--XX.txt
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%TEMPDIR%\UuU.uUu
%TEMPDIR%\XxX.xXx



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe"


– Имя файла:
   • "c:\dir\install\install\jtdll.exe"

 Реестр Добавляется следующий ключ реестра:



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   Новое значение:
   • "Policies"="c:\dir\install\install\jtdll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Новое значение:
   • "HKCU"="c:\dir\install\install\jtdll.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Новое значение:
   • "HKLM"="c:\dir\install\install\jtdll.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   Новое значение:
   • "Policies"="c:\dir\install\install\jtdll.exe"

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Для определения стандартных папок для загрузки происходит обращение к реестру:
   • \software\Morpheus
   • \software\Xolox
   • \software\Xolox
   • \software\Shareaza
   • \software\LimeWire


 Backdoor Открывается порт:

– javaupdate.ser**********.org по TCP порту 443

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 27 августа 2010 г.
Описание обновил Petre Galan в(о) пятница, 27 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.