English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Click.AU
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Click.AU - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Click.AU
Обнаружен:
28/09/2006
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
11.109 байт.
Контрольная сумма MD5:
e87f0271ce34b9f9491b6fd95c2e14a4
Версия VDF:
6.36.00.60
Версия IVDF:
6.36.00.73
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Mcafee: Downloader-AYN
• Kaspersky: Trojan-Downloader.Win32.Nurech.c
• TrendMicro: PAK_Generic.002
• F-Secure: W32/Small.DUU
• Sophos: Troj/Dloadr-ANX
• Eset: Win32/TrojanDownloader.Agent.NHA
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файл
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\upnp.exe
Попытка загрузки следующего файла:
– Следующий URL:
• http://www.zxcvz.com/**********
Сохраняется локально в:
%temporary internet files%
\Content.IE5\
%случайно выбранная директория%
\c.php Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "np"="
%SYSDIR%
\upnp.exe"
Добавляются следующие ключи реестра:
– [HKCU\Software\unker]
– [HKCU\Software\unker\
%выполненный файл%
]
– [HKCU\Software\unker\
%выполненный файл%
\main]
• "cid"=
%шестнадцатиричное значение%
– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
• "cid"=
%шестнадцатиричное значение%
Backdoor
Устанавливает соединение с сервером
Следующий:
• http://www.zxcvz.com/**********
В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Текущий malware статус.
Разное
Мьютекс:
Создается мьютекс:
• ewffefewfwjioIJOJIojioerjiogryivctyxrtio
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Thu, 28 Sep 2006 14:49 (GMT+1)
Описание обновлено: Adriana Popa Fri, 17 Nov 2006 12:45 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Click.AU
Print this page
.gif)
