English
Deutsch
Francais
Español
Italian
Home
Virus Info
ADSPY/Boran.O.2
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
ADSPY/Boran.O.2 - Adware / Spyware
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
ADSPY/Boran.O.2
Обнаружен:
05/10/2006
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
40.960 байт.
Контрольная сумма MD5:
1f4b04a85768205ae5452415dc843e3d
Версия VDF:
6.35.01.196
Версия IVDF:
6.35.01.200
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдоним (alias):
• Eset: Win32/Adware.Boran
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Изменение реестра
• Использует уязвимость ПО
Файлы
Попытка загрузки следующих файлов:
– Следующий URL:
• http://www.update.borlander.cn/updadini/**********
Сохраняется локально в:
%Рабочая папка вредоносной программы%
\updadini.ini Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
– Следующий URL:
• http://www.update.borlander.cn/updstd/**********
Сохраняется локально в:
%Рабочая папка вредоносной программы%
\updstdex.ini Данный файл запускается на выполнение после его полной загрузки.
– Следующий URL:
• http://www.update.borlander.cn/updstd/**********
Сохраняется локально в:
%Рабочая папка вредоносной программы%
\updstdup.ini Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
Реестр
С добавлением следующего ключа регистрируется BHO (browser helper object):
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
• @="stdup"
Добавляются следующие ключи реестра:
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
• @="
%SYSDIR%
\stdup.dll"
• "ThreadingModel"="Apartment"
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
• @="Ad.AxObj.1"
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
• @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
VersionIndependentProgID]
• @="Ad.AxObj"
– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
• @="Ad 1.0 Type Library"
– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
• @="
%Рабочая папка вредоносной программы%
\
%выполненный файл%
"
– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
• @="0"
– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
• @="%malware execution directoy%"
– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
• @="IAxObj"
– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
• @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
• "Version"="1.0"
– [HKCR\Ad.AxObj]
• @="stdup"
– [HKCR\Ad.AxObj\CLSID]
• @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"
– [HKCR\Ad.AxObj\CurVer]
• @="Ad.AxObj.1"
– [HKLM\SOFTWARE\Stdup]
• "stdup"="3.2.1.8"
• "regup"="01c6e9b74e600380"
• "pid"="30574EFA8247A1B90B30060F409F5F5B"
• "reg"="30574EFA8247A1B90B30060F409F5F5B"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
• "DisplayName"="WinStdup"
• "UninstallString"="
%SYSDIR%
\rundll32.exe
%Рабочая папка вредоносной программы%
\
%выполненный файл%
,Uninstall"
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
• @="stdup"
– [HKLM\SOFTWARE\Stdup\up]
• "3.2.1.8"="1"
Backdoor
Устанавливает соединение с сервером
Все последующие:
• http://www.borlander.com.cn/**********
• http://www.borlander.com.cn/**********
• http://www.borlander.com.cn/jsp/**********
После установления соединения вызывается дополнительный список серверов.
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Текущий malware статус.
• Время жизни вредоносной программы
Возможности удаленного контроля:
• Посещение веб-страницы
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Fri, 06 Oct 2006 12:27 (GMT+1)
Описание обновлено: Andrei Ivanes Fri, 27 Oct 2006 08:23 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.CR
TR/Dldr.Java.OpenConnection.AQ
DR/Buzus.qvy
DR/Mirar.AJ
EXP/Flash.1275
CC/00233
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info ADSPY/Boran.O.2
Print this page
.gif)
