English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Drop.Starter.M.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Drop.Starter.M.1 - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Drop.Starter.M.1
Обнаружен:
16/10/2006
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
890.164 байт.
Контрольная сумма MD5:
51da88d0bcd95a6f763f296e7a5aad3a
Версия VDF:
6.36.00.109
Версия IVDF:
6.36.00.125
Общее
Псевдоним (alias):
• Sophos: Troj/ServU-ED
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Последствия:
• Создает файлы
• Создает потенциально опасный файл
• Изменение реестра
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создаются следующие файлы:
– Незараженные файлы:
•
%PROGRAM FILES%
\Internet Explorer\lewocXAIrvqopKR.ocx
•
%PROGRAM FILES%
\Internet Explorer\t-exec.dll
•
%PROGRAM FILES%
\Internet Explorer\t-exec.ini
•
%PROGRAM FILES%
\Internet Explorer\tcp_setting.ocx
•
%PROGRAM FILES%
\Internet Explorer\updater.dll
•
%PROGRAM FILES%
\Internet Explorer\updater.ini
•
%PROGRAM FILES%
\Internet Explorer\go.bat
–
%PROGRAM FILES%
\Internet Explorer\rar.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Starter.M
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe После полного завершения процесса создания он запускается на выполнение. Определен как: SPR/FTPServ.A
Реестр
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000001
• "ImagePath"="
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe"
• "DisplayName"="Internet Protocol"
• "ObjectName"="LocalSystem"
• "Description"="Enables Internet Protocol connections over TCP (TCP/IP) include NetBIOS Support"
Добавляются следующие ключи реестра:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP\0000
• "Service"="tcp-ip"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Internet Protocol"
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TCP-IP\0000\Control
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="tcp-ip"
– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip\Security
• "Security"=%hex value%
– HKLM\SYSTEM\CurrentControlSet\Services\tcp-ip\Enum
• "0"="Root\\LEGACY_TCP-IP\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Backdoor
Открываются следующие порты:
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 1480 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 1908 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 3389 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 6666 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 10000 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 19820 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 21000 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 45120 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 45180 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 65000 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 43958 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 24 для обеспечения FTP сервера.
–
%PROGRAM FILES%
\Internet Explorer\ie-explorer.exe по TCP порту 145 для обеспечения FTP сервера.
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Bogdan Iliuta Wed, 29 Nov 2006 15:23 (GMT+1)
Описание обновлено: Andrei Ivanes Mon, 04 Dec 2006 18:31 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Drop.Starter.M.1
Print this page
.gif)
