English
Deutsch
Español
Italian
Home
Virus Info
ADSPY/WinAD.AT.3
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
ADSPY/WinAD.AT.3 - Adware / Spyware
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
ADSPY/WinAD.AT.3
Обнаружен:
07/06/2005
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
54.320 байт.
Контрольная сумма MD5:
f82a79f7c5b226a53864a3fe6406d9e5
Версия VDF:
6.31.00.08
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Eset: Win32/Adware.WUpd
• Bitdefender: Trojan.Winad.AE
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Создает файл
• Изменение реестра
Файлы
Создается собственная копия:
•
%PROGRAM FILES%
\Media Access\MediaAccess.exe
Создается следующая директория:
•
%PROGRAM FILES%
\Media Access
Создается файл:
– Незараженный файл:
•
%SYSDIR%
\ide21201.vxd
Попытка загрузки следующих файлов:
– Следующий URL:
• http://static.windupdates.com/Release/v20/**********
Сохраняется локально в:
%PROGRAM FILES%
\Media Access\MediaAccK.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.
– Следующий URL:
• http://static.windupdates.com/Release/v20/**********
Сохраняется локально в:
%PROGRAM FILES%
\Media Access\MediaAccC.dll На момент проверки данный файл не был доступен.
– Следующий URL:
• http://static.windupdates.com/Release/v20/**********
Сохраняется локально в:
%PROGRAM FILES%
\Media Access\Info.txt На момент проверки данный файл не был доступен.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Media Access"="
%PROGRAM FILES%
\Media Access\MediaAccK.exe"
Добавляются следующие ключи реестра:
– [HKCR\AppID\{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}]
• @="LoaderX"
– [HKCR\AppID\LoaderX.EXE]
• "AppID"="{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}"
– [HKCR\MediaAccess.Installer]
• @="Installer Class"
– [HKCR\MediaAccess.Installer\CLSID]
• @="{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}"
– [HKCR\MediaAccess.Installer\CurVer]
• @="MediaAccess.Installer"
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}]
• @="Installer Class"
• "AppID"="{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}"
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
Implemented Categories]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32]
• @="
%PROGRAM FILES%
\Media Access\MediaAccess.exe"
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\ProgID]
• @="MediaAccess.Installer"
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Programmable]
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\TypeLib]
• @="{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}"
– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\
VersionIndependentProgID]
• @="MediaAccess.Installer"
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}]
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0]
• @="LoaderX 1.0 Type Library"
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0]
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0\win32]
• @="
%PROGRAM FILES%
\Media Access\MediaAccess.exe"
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\FLAGS]
• @="0"
– [HKCR\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\HELPDIR]
• @="
%PROGRAM FILES%
\Media Access\"
– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}]
• @="IInstaller"
– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\
ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\
ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\TypeLib]
• @="{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}"
• "Version"="1.0"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Media Access]
• "UninstallString"="
%PROGRAM FILES%
\Media Access\MediaAccess.exe /Remove"
• "DisplayName"="Media Access"
Backdoor
Устанавливает соединение с сервером
Следующий:
• http://www.windupdates.com/**********
В результате может пересылаться информация.
Разное
Мьютекс:
Создается мьютекс:
• MediaAccess
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Adriana Popa Tue, 19 Dec 2006 10:44 (GMT+1)
Описание обновлено: Adriana Popa Tue, 19 Dec 2006 10:58 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.BQ
Worm/Mytob.AD
Worm/Mytob.AP
Worm/Zhelatin.ZI
TR/Delf.Agent.ABC
TR/Agent.284658
TR/Dldr.Tiny.brm
Worm/Autorun.FY.1
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info ADSPY/WinAD.AT.3
Print this page
.gif)
