Имя:TR/Kryptik.FU
Обнаружен:01/09/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:98.304 байт.
Контрольная сумма MD5:d2f7cb6da675a38bfa963c023a732b1f
Версия IVDF:7.10.11.70 - четверг, 2 сентября 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.Yimfoca
   •  Kaspersky: IM-Worm.Win32.Yahos.ci
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: W32/MSNworm.JB.worm
   •  PCTools: Malware.Yimfoca
   •  VirusBuster: Trojan.Ircbrute.BLB
   •  Eset: IRC/SdBot.AVU
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Malware/Win32.Yimfoca
   •  DrWeb: BackDoor.Siggen.25869
   •  Fortinet: W32/SDBot.30ED!tr
   •  Ikarus: Trojan.Win32.Ircbrute
   •  Norman: W32/Ircbrute.AR


Операционные системы:
   • Windows XP


Последствия:
   • Создает файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exg



Удаляется следующий файл:
   • %WINDIR%\jusched.exg

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%текущая папка%\\%выполненный
      файл% "="%WINDIR%\jusched.exe:*:Enabled:Java developer Script
      Browse"

Описание добавил Christoph Baumann в(о) понедельник, 6 сентября 2010 г.
Описание обновил Christoph Baumann в(о) понедельник, 6 сентября 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.