Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Barys.EB.39
Обнаружен:08/10/2012
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Размер файла:58368 байт.
Контрольная сумма MD5:b6d93bdafac4aeb0b02f2c71e5b1fd49
Версия VDF:7.11.45.104 - понедельник, 8 октября 2012 г.
Версия IVDF:7.11.45.104 - понедельник, 8 октября 2012 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Ransom.Win32.Gimemo.arqg
   •  Sophos: Troj/Agent-YCB
   •  Eset: Win32/TrojanDownloader.Zortob.B trojan
   •  DrWeb: BackDoor.Kuluoz.3


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Изменение реестра

 Файлы Создается собственная копия:
   • %appdata%\%случайная комбинация букв из восьми букв%.exe

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "jfgsmslk"=""%appdata%\%случайная комбинация букв из восьми букв%""



Добавляется следующий ключ реестра:

– [HKCU\Software\xcqahuiu]

 Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливается контакт со следующим DNS сервером:
   • 217.**********.**********.108:84/get/passf_v4_2.dll.crp


Обработчик событий:
Программа создает следующий обработчик событий:
   • URLDownloadToFile
   • CreateProcess
   • Createfile


Строка:
Здесь содержится следующая последовательность:
   • You fag!!!!!

Описание добавил Wensin Lee в(о) вторник, 9 октября 2012 г.
Описание обновил Wensin Lee в(о) вторник, 9 октября 2012 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.