Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:TR/Obisty.A
Обнаружен:19/12/2012
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Средний
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:148.992 байт.
Контрольная сумма MD5:89FA070B12AEE94C97F15AFBC8404E00
Версия VDF:7.11.54.86 - среда, 19 декабря 2012 г.
Версия IVDF:7.11.54.86 - среда, 19 декабря 2012 г.

 Общее Метод распространения:
   • Посещая инфицированные веб-сайты

Похожее обнаружение:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %APPDATA%\KB%случайная комбинация букв из восьми букв%.exe



Создается файл:

%TEMPDIR%\exp3.tmp.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%случайная комбинация букв из восьми букв% .exe

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://84.22.100.108:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://182.237.17.180:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://123.49.61.59:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://204.15.30.202:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://64.76.19.236:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://59.90.221.6:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://210.56.23.100:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://94.73.129.120:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://174.143.174.136:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://203.217.147.52:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://74.207.237.170:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://23.29.73.220:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://69.64.89.82:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://74.63.229.10:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://74.86.113.66:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://174.121.188.156:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://50.22.94.96:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://173.203.102.204:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://74.117.107.25:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://174.142.68.239:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://188.212.156.170:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://188.120.226.30:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://78.28.120.32:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://217.65.100.41:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://81.93.250.157:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%
   • http://188.40.109.204:8080/%случайная буквенная комбинация%/%случайная буквенная комбинация%/%случайная буквенная комбинация%

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением PHP скриптов.

 Инфицирование – Включает себя в процессы в качестве потока.

Включено во все процессы.


 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Liviu Serban в(о) среда, 19 декабря 2012 г.
Описание обновил Andrei Gherman в(о) среда, 19 декабря 2012 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.