Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Injector.tcc
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Размер файла:936448 байт.
Контрольная сумма MD5:98f74b530d4ebf6850c4bc193c558a98

 Общее Методы распространения:
   • Функция автозапуска
   • Локальная сеть
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Bublik.iza
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750144
   •  DrWeb: BackDoor.IRC.NgrBot.42


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Может использоваться для изменения настроек системы таким образом, чтобы разрешить вредоносное поведение или повысить его потенциал.
   • Изменение реестра

 Файлы Создается собственная копия:
   • %appdata%\%случайная комбинация из шести букв%.exe



Создается файл:

– %appdata%\%1 digit random character string%.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%случайная комбинация из шести букв%.exe"

 Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:
   • s177.hot**********.com
   • venus.time**********.pl


Обработчик событий:
Программа создает следующий обработчик событий:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Строка:
Здесь содержатся следующие последовательности:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Данные файла Язык программирования:
Программа была написана на Borland C++.

Описание добавил Wensin Lee в(о) понедельник, 8 октября 2012 г.
Описание обновил Wensin Lee в(о) понедельник, 8 октября 2012 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.