Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:WORM/Ainslot.A.1046
Обнаружен:14/06/2011
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Размер файла:501.248 байт.
Контрольная сумма MD5:3198C08985BFE23232EAD51418E3A896
Версия VDF:7.11.09.168 - вторник, 14 июня 2011 г.
Версия IVDF:7.11.09.168 - вторник, 14 июня 2011 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Ainslot.b
   •  Kaspersky: Trojan.Win32.VBKrypt.difd
   •  TrendMicro: TROJ_VB.WPW
   •  Sophos: Mal/Ainslot-B
   •  Microsoft: Worm:Win32/Ainslot.A


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %APPDATA%\black.exe



Создается файл:

– %APPDATA%\data.dat Содержит используемые вредоносным ПО параметры

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "Windows Defender"="%APPDATA%\black.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%APPDATA%\black.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Defender"="%APPDATA%\black.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {EF896FDC-DCB3-9EED-A24D-3DB2AFFD0F3D}]
   • "StubPath"="%APPDATA%\black.exe"

– [HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "NJ13M066E8"="whitedevil112's Bo"

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • explorer.exe


 Разное Доступ к интернет-ресурсам:
   • whitedevil112.no-ip.biz

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) среда, 27 июля 2011 г.
Описание обновил Andrei Ilie в(о) среда, 27 июля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.