Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Rogue.kdv.640189
Обнаружен:03/07/2012
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Размер файла:94.720 байт.
Контрольная сумма MD5:C142F7941922369C46E948FF508F67CE
Версия VDF:7.11.34.246 - вторник, 3 июля 2012 г.
Версия IVDF:7.11.34.246 - вторник, 3 июля 2012 г.

 Общее Метод распространения:
   • Функция автозапуска


Псевдоним (alias):
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
   •  Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
   •  DrWeb: Trojan.DownLoader6.13798


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %APPDATA%\KB00027502.exe

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%TEMPDIR%\POS1.tmp После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
– [HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • %WINDIR%\Explorer.EXE


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Daniel Mocanu в(о) среда, 8 августа 2012 г.
Описание обновил Daniel Mocanu в(о) среда, 8 августа 2012 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.