Имя:TR/Fakealert.MA.591
Обнаружен:21/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:172.032 байт.
Контрольная сумма MD5:9da73b97fb0532f93b4962100903a9c7
Версия IVDF:7.10.09.190 - пятница, 23 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Downloader-CEW.b
   •  Kaspersky: Packed.Win32.Katusha.n
   •  TrendMicro: TROJ_FAKEAV.SMA2
   •  F-Secure: Trojan-Downloader:W32/Renos.GRS
   •  Sophos: Mal/FakeAV-BW
   •  Avast: Win32:MalOb-BR
   •  Microsoft: TrojanDownloader:Win32/Renos.KF
   •  PCTools: Trojan.FakeAV
   •  VirusBuster: Trojan.Kryptik.AHJS
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Win-Trojan/Katusha.172032.CX
   •  DrWeb: Trojan.Packed.189
   •  Fortinet: W32/Katusha.BW!tr


Операционные системы:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файл
   • Изменение реестра

 Файлы Создается файл:

%WINDIR%\taks\%CLSID%.job После полного завершения процесса создания он запускается на выполнение. Запланированная задача в виде данного файла запускается в заранее определенное время.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %случайная буквенная комбинация%"="c:\%текущая папка%\%выполненный файл%



Добавляются следующие ключи реестра:

– [HKCU\Software\
   %случайная буквенная комбинация%]
   • "%случайная буквенная комбинация%"="%случайная буквенная комбинация%"
   • "%случайная буквенная комбинация%"="%случайная буквенная комбинация%"
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%
   • "%случайная буквенная комбинация%"="%случайная буквенная комбинация%"
   • "%случайная буквенная комбинация%"="%случайная буквенная комбинация%"
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%
   • "%случайная буквенная комбинация%"=dword:%шестнадцатиричное значение%

– [HKCU\Software\XML]

Описание добавил Christoph Baumann в(о) четверг, 2 сентября 2010 г.
Описание обновил Christoph Baumann в(о) четверг, 2 сентября 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.