TR/Dldr.Small.agq.4 - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Dldr.Small.agq.4
Обнаружен:	26/09/2005
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	4.477 байт.
Контрольная сумма MD5:	f858bcfec28369d83492a5d406ecf60c
Версия VDF:	6.31.1.64

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: BackDoor-AZV
   • Kaspersky: Trojan-Downloader.Win32.Small.bov
   • Sophos: Troj/Vixup-Gen
   • Bitdefender: Trojan.Downloader.Small.AMA

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы

Файлы Создается собственная копия:
   • %SYSDIR%\kernels32.exe

Создается файл:

– Незараженный файл:
   • %SYSDIR%\vx.tll

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://**********/adverts/progs/search.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq1.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: 547

– Следующий URL:
   • http://**********/adverts/progs/winlogon.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq2.exe

– Следующий URL:
   • http://**********/adverts/progs/tibs.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq5.exe

– Следующий URL:
   • http://**********/adverts/progs/tool.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq6.exe

– Следующий URL:
   • http://**********/adverts/progs/proxy.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq7.exe

– Следующий URL:
   • http://**********/adverts/progs/search.exe
Сохраняется локально в: %SYSDIR%\vxh8jkdq8.exe

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System" = "%SYSDIR%\kernels32.exe"

Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

Изменяется следующий ключ реестра:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell" = "Explorer.exe"
   Новое значение:
   • "Shell" = "Explorer.exe %SYSDIR%\kernels32.exe"

Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://**********/adverts/039/adload.php
   • http://**********/adverts/039/aduniq.php?vx1=%случайная буквенная комбинация%

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.

Передает информацию о:
    • Текущий malware статус.

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG 2.0

Краткое описание см. здесь.

Описание добавлено: Alexandru Tudor Tue, 27 Sep 2005 09:34 (GMT+1)
Описание обновлено: Alexandru Tudor Fri, 30 Sep 2005 11:33 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад