TR/Keylogger.avk - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Keylogger.avk
Обнаружен:	29/11/2007
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	112.008 байт.
Контрольная сумма MD5:	a3e928635256073ca0e5b90388ee6efc
Версия VDF:	7.00.01.23
Версия IVDF:	7.00.01.24 - Thu, 29 Nov 2007 15:25 (GMT+1)

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: Generic Keylogger.g trojan
   • Kaspersky: Trojan.Win32.VB.avk
   • F-Secure: Trojan.Win32.VB.avk
   • Panda: Trj/Keylogger.BN

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

Файлы Создаются собственные копии:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh

Создается файл:

– C:\s5d46a.fjg Файл является безвредным текстовым файлом со следующим содержимым:
   • %похищенная информация%

Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"

Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Новое значение:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   Новое значение:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Новое значение:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Новое значение:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.e223pg.awardspace.co.uk/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.

Передает информацию о:
    • Свободное место на диске
    • Полученная из похищенного блока информация

Кража Попытка кражи следующей информации:

– Протоколируется:
• Нажатие клавиш
• Информация об окне

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PePetite 2.2

Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Thu, 29 Nov 2007 10:22 (GMT+1)
Описание обновлено: Monica Ghitun Fri, 30 Nov 2007 14:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back