Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Deedon.A
Обнаружен:10/06/2011
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Размер файла:538.624 байт.
Контрольная сумма MD5:5E510AA7FB77DA2C6EA7230D38FC524B
Версия VDF:7.11.09.137 - пятница, 10 июня 2011 г.
Версия IVDF:7.11.09.137 - пятница, 10 июня 2011 г.

 Общее Метод распространения:
   • Функция автозапуска


Псевдонимы (аliases):
   •  TrendMicro: WORM_AUTORUN.IW
   •  Bitdefender: Trojan.Autorun.AZQ
   •  Microsoft: Worm:Win32/Autorun.ACV


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %Диск%\%выполненный файл%



Изменяет следующий файл:
   • "%APPDATA%\Mozilla\Firefox\Profiles\%строка символа%.default\prefs.js"
В результате выполняется отключение различных механизмов защиты.



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%Рабочая папка вредоносной программы%\auto.bat Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BAT/Deedon.A

 Реестр Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Новое значение:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "AutoConfigURL"="http://www.descadastramento.**********/seguranca.pac"

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) четверг, 28 июля 2011 г.
Описание обновил Andrei Ilie в(о) четверг, 4 августа 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.