Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Yakes.ajw
Обнаружен:29/06/2011
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:50.176 байт.
Контрольная сумма MD5:84912A4480E54ACC70D33084BA9C3A99
Версия VDF:7.11.10.166 - среда, 29 июня 2011 г.
Версия IVDF:7.11.10.166 - среда, 29 июня 2011 г.

 Общее Метод распространения:
   • Функция автозапуска


Псевдонимы (аliases):
   •  Mcafee: W32/Autorun.worm.h
   •  Sophos: Mal/EncPk-AAG
   •  Microsoft: Worm:Win32/Autorun.ABO


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\svrwsc.exe



Создается файл:

%TEMPDIR%\Low%шестнадцатиричное значение%.tmp.bat Данный batch-файл используется для удаления файла.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""

 Backdoor Устанавливает соединение с сервером
Следующий:
   • etrademone.**********/point/forum/index.php

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Включает себя в процессы в качестве удаленного потока.

    Все следующие процессы:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) четверг, 22 сентября 2011 г.
Описание обновил Andrei Ilie в(о) пятница, 30 сентября 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.