TR/KillFiles.JA - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/KillFiles.JA
Обнаружен:	13/07/2006
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Высокий
Файл статистики:	Да
Размер файла:	9.008 байт.
Контрольная сумма MD5:	8bb7961e5b018190ac5950d96605e0b8
Версия VDF:	6.35.00.126
Версия IVDF:	6.35.00.154

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan.Win32.KillFiles.ja
   • TrendMicro: TROJ_KILLFILE.AV

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

После запуска передается следующая информация:

Файлы Создаются собственные копии:
   • %SYSDIR%\Persian-X27.exe
   • %WINDIR%\Miscreant.exe

Создает собственные копии с именами файлов из списков
– Кому: %все папки% С одним из следующих имен:
   • OnLine.exe
   • Service.exe
   • Music.exe
   • Girls.exe
   • Women.exe
   • DJ Tattoo.exe
   • Funny.exe
   • Trollop.exe
   • Scamp.exe
   • Puck.exe
   • Pixy.exe
   • OedipusComplex.exe
   • Nursling.exe
   • Matrix.exe
   • Loon.exe
   • Phallic.exe
   • Watchfulness.exe
   • Heavy.exe
   • Nightcap.exe
   • Brilliance.exe
   • Wittol.exe
   • Whorish.exe
   • Whoreson.exe
   • Ribald.exe
   • Quean.exe
   • Nag.exe
   • Magdalen.exe
   • Mademe.exe
   • Harridan.exe
   • Harlot.exe
   • Hackney.exe
   • Fornicate.exe
   • Besom.exe
   • Townswoman.exe
   • Lupanar.exe
   • Fornication.exe
   • FancyWomen.exe
   • Drab.exe
   • Doxy.exe
   • Zoogenous.exe
   • Sodomyh.exe
   • Shoat.exe
   • Saucebox.exe
   • Pederasty.exe
   • Oaf.exe
   • Nanny.exe
   • Adulteress.exe
   • Abed.exe
   • Bedfellow.exe
   • Chemise.exe
   • Nightwalker.exe
   • Opiate.exe
   • Sly.exe
   • Whoremonger.exe
   • Wench.exe
   • Trul.exe
   • Prostitute.exe
   • Meretricious.exe
   • Callet.exe
   • GrassWidow.exe
   • Geisha.exe
   • Cockatrice.exe
   • Zoogenic.exe
   • Womb.exe
   • Viviparity.exe
   • Urchin.exe
   • Uniparous.exe
   • Tyke.exe
   • Terror.exe
   • Tad.exe
   • Stillborn.exe
   • Sissy.exe
   • Raptor.exe
   • Piddle.exe
   • Parturient.exe
   • Cuckold.exe
   • Penis.exe
   • Bedclothes.exe
   • Cohabitant.exe
   • Fluff.exe
   • Sagacity.exe
   • Knowing.exe
   • Ingenious.exe
   • Cunning.exe
   • Strumpet.exe
   • Streetwalker.exe
   • Stallion.exe
   • Moll.exe
   • Lighto'love.exe
   • Hetaira.exe
   • Courtezan.exe
   • Bordel.exe

Удаляются следующие файлы:
   • %SYSDIR%\Restore\rstrui.exe
   • %SYSDIR%\Restore\srframe.mmf
   • %SYSDIR%\Restore\srdiag.exe
   • %Диск%:\%все папки%\*.*

Создается файл:

– %Диск%:\%все папки%\%случайно выбранная директория%@li-RNo.H.Txt Файл является безвредным текстовым файлом со следующим содержимым:
   • Hi,How Are You ?
     Ali Reza No.H.::.
     My name is FoovaPartB

Реестр Удаляется значение следующего ключа реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Буква%%Буква%%Буква%\
   Application]

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDrives"=dword:00000004

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3]
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithList]
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile]
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\ArnhFile\DefaultIcon]
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile\shell]
– [HKCR\ArnhFile\shell\open]
– [HKCR\ArnhFile\shell\open\command]
   • @="%SYSDIR%\Persian-X27.exe %L"

Изменяются следующие ключи реестра:

– [HKCR\.exe]
   Прежнее значение:
   • @="exefile"
   Новое значение:
   • @="Mp3File"

– [HKCR\.%Буква%%Буква%%Буква%]
   Новое значение:
   • @="ArnhFile"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Буква%%Буква%%Буква%]
   Новое значение:
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Буква%%Буква%%Буква%\
   OpenWithList]
   Новое значение:
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file]
   Новое значение:
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\mp3file\DefaultIcon]
   Новое значение:
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file\shell\open\command]
   Новое значение:
   • @="%SYSDIR%\Persian-X27.exe %L"

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG

Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Thu, 13 Jul 2006 14:24 (GMT+1)
Описание обновлено: Monica Ghitun Tue, 01 Aug 2006 15:48 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад