English
Deutsch
Español
Italian
Home
Virus Info
Worm/TermX.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/TermX.A - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/TermX.A
Обнаружен:
14/05/2007
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От низкого до среднего
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
186.166 байт.
Контрольная сумма MD5:
09b5dc62a921a88153cd34b08716b479
Версия VDF:
6.38.01.136
Версия IVDF:
6.38.01.142
Общее
Метод распространения:
• Messenger
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносного файл
• Изменение реестра
Файлы
Создается собственная копия:
•
%WINDIR%
\svhost32.exe
Попытка загрузки следующего файла:
– Следующий URL:
• http://bestwish.info**********
Данный файл запускается на выполнение после его полной загрузки. На момент проверки данная версия вредоносной программы была новой.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Task Manager"="
%WINDIR%
\svhost32.exe"
Добавляются следующие ключи реестра:
– [HKCU\Software\Google\GoogleToolbarNotifier]
• "KeepDS"=dword:00000000
• "ShowTrayIcon"=dword:00000000
– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
• "content url"="http://bestwish.info/**********"
– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
• "content url"="http://bestwish.info/**********"
Изменяются следующие ключи реестра:
Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Новое значение:
• "Search Page"="http://bestwish.info/**********"
• "Start Page"="http://bestwish.info/**********"
Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Новое значение:
• "DisableRegistryTools"=dword:00000001
• "DisableTaskMgr"=dword:00000001
Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Новое значение:
• "NoRun"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Новое значение:
• "DisableConfig"="1"
– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
Новое значение:
• "(Default)"="http://bestwish.info/**********"
– [HKCU\Software\Microsoft\Search Assistant]
Новое значение:
• "DefaultSearchURL"="http://bestwish.info/**********"
Messenger
Распространяется с помощью программы Messenger. Основные характеристики:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
– Windows Messenger
Кому:
Все записи из списка контактов.
Сообщение
Отправленное сообщение может иметь один из следующих видов:
• c’est ma carte de voeux de Noel que j’ai fait seulement pour toi http://bestwish.info/********** ^_^
• Microsoft donne 2007 copies gratuits de Windows Vista pour 2007 premieres inscriptions : http://bestwish.info/********** >:D< est envoyé par
%актуальное имя пользователя%
pas de virus
• vote pour notre Miss de beauté aujourd’hui :x " http://bestwish.info/********** :x:x:x:x:x est envoyé par
%актуальное имя пользователя%
pas de virus
• the only way to clean some online viruses that may lead you into troubles : http://bestwish.info/********** << est envoyé par
%актуальное имя пользователя%
pas de virus
• Joyeux Noel et Bonne année !!! http://bestwish.info/********** <<
• l’entrainneur de Chelsea est gravement blessé par Gallad http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• Attention!!! Il y aura un tremblement de terre ce soir : http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• J’ai fait 10 cadeaux pour les 10 premieres personnes qui commentent sur mon site web : http://bestwish.info/********** c0ol !!! est envoyé par
%актуальное имя пользователя%
pas de virus
• you are virus infected . Use this tool to remove viruses from your PC : http://bestwish.info/********** << est envoyé par
%актуальное имя пользователя%
pas de virus
• Enculé !!! http://bestwish.info/********** X-(
• Osama Bin Laden est arreté http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• Creer les bombs hyper forts avec Whisky, Coke et Mentos http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• J'ai gagne au LOTO: http://bestwish.info/********** Viens feter chez moi !!!
Полученное сообщение может выглядеть следующим образом:
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Ernest Szocs Mon, 14 May 2007 14:38 (GMT+1)
Описание обновлено: Ernest Szocs Tue, 15 May 2007 12:43 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Lovgate.W
Worm/Mytob.U
Worm/Klez.E
TR/Dldr.Exchanger.OQ
TR/Dldr.Small.but
TR/Kavimondas.B
TR/Dldr.Agent.73728
JS/Dldr.Iframe.BY
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/TermX.A
Print this page
.gif)
