English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Virtumonde.26730
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Virtumonde.26730 - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Virtumonde.26730
Обнаружен:
02/04/2007
Вид:
Троянская программа
Подвид:
Downloader
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
26730 байт.
Контрольная сумма MD5:
731396df61f1cedc2b70ab33ebb0c0b3
Версия VDF:
6.38.00.161
Версия IVDF:
6.38.00.165
Общее
Метод распространения:
• Нет собственной процедуры распространения
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносного файл
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная комбинация из пяти букв%
.dll
Попытка загрузки следующего файла:
– Следующий URL:
• http://89.188.16.15/ths/lo1.dll**********
Сохраняется локально в:
%SYSDIR%
\
%случайная комбинация из пяти букв%
.dll Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.
Реестр
Добавляются следующие ключи реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
Settings]
• "Time"=
%актуальное время%
– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
• @="
%Рабочая папка вредоносной программы%
\
%выполненный файл%
"
• "ThreadingModel"="Both"
– [HKCU\Software\Microsoft\Installer]
• @=
%Шестнадцатиричное число%
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
• "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
%выполненный файл%
]
• "Asynchronous"=dword:00000001
• "DllName"="
%выполненный файл%
"
• "Impersonate"=dword:00000000
• "Logon"="Logon"
• "Logoff"="Logoff"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
• "GlobalUserOffline"=dword:00000000
Изменяются следующие ключи реестра:
Снижает настройки безопасности Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\3]
Прежнее значение:
• "1A10"=
%Настройки пользователя%
"{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=
%Настройки пользователя%
Новое значение:
• "1A10"=dword:00000000
"{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=
%Шестнадцатиричное число%
Backdoor
Устанавливает соединение с сервером
Следующий:
• http://65.243.103.80/80/67247**********&t=
%актуальная дата%
**********
В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.
Инфицирование
– Объект внедряется в процесс.
Все следующие процессы:
• Explorer.exe
• Winlogon.exe
•
%Процессы с ото
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Thu, 19 Apr 2007 09:24 (GMT+1)
Описание обновлено: Monica Ghitun Thu, 19 Apr 2007 12:29 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.CR
TR/Dldr.Java.OpenConnection.AQ
DR/Buzus.qvy
DR/Mirar.AJ
EXP/Flash.1275
CC/00233
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
