English
Deutsch
Français
Español
Italiano
Начальная страница
Информация о вирусах
Поиск
Начальная страница
Поддержка
Решения
Продукция
Файлы для загрузки
Информация о вирусах
Статистика
Phishing Worldmap
VDF История
Клиент
Загрузить файл
Новости безопасности
В список опасных вирусов
Компания
Пресса
Партнеры
Рассылка
TechBlog
TR/PSW.Papras.JN - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
Как бы Вы оценили эту информацию?
Бесполезная
Замечательно
Имя:
TR/PSW.Papras.JN
Обнаружен:
27/03/2009
Вид:
Троянская программа
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
66.048 байт.
Контрольная сумма MD5:
8c00c01185fd4cb20d8a91b307e7e39f
Версия IVDF:
7.01.02.228
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Symantec: Infostealer.Snifula.C
• Kaspersky: Trojan-PSW.Win32.Papras.jn
• F-Secure: Trojan-PSW.Win32.Papras.jn
• Sophos: Troj/Zbot-BS
• Eset: Win32/PSW.Papras trojan
• Bitdefender: Trojan.Inject.UD
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файл
• Создает потенциально опасный файл
• Изменение реестра
• Похищает информацию
Файлы
Создается собственная копия:
•
%WINDIR%
\9129837.exe
Пытается запустить на выполнение следующие файлы:
– Имя файла:
•
%WINDIR%
\new_drv.sys
Применяется для сокрытия процесса менеждера задач. Определен как:
TR/Rootkit.Gen
– Имя файла:
•
%Рабочая папка вредоносной программы%
\abcdefg.bat
Данный batch-файл используется для удаления файла.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "ttool"="
%WINDIR%
\\9129837.exe"
Добавляется следующий ключ реестра:
– [HKCU\Software\Microsoft\InetData]
• "k1"=dword:
%шестнадцатиричное значение%
• "k2"=dword:
%шестнадцатиричное значение%
• "version"="5"
Backdoor
Открывается порт:
к произвольному TCP порту для обеспечения backdoor функции.
Устанавливает соединение с сервером
Следующий:
• http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=
%Число%
&version_id=5&passphrase=
%случайная буквенная комбинация%
&socks=
%открытый порт%
&version=
&crc=00000000
В результате обеспечиваются функции скрытого удаленного управления.
Передает информацию о:
• Hardware
• Открытый порт
Данные файла
Язык программирования:
Программа была написана на Delphi.
Краткое описание см.
здесь
.
Описание добавлено: Andreas Feuerstein Wed, 08 Apr 2009 12:36 (GMT+1)
Описание обновлено: Andreas Feuerstein Wed, 08 Apr 2009 13:28 (GMT+1)
»
О вредоносном ПО
»
О фишинге
»
В список опасных вирусов
« назад
Распечатать эту страницу
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Просто получать новости от Avira по ленте
Распознает и удаляет определенное вредоносное ПО и его варианты.
Загрузка здесь
Предупреждение о вирусах
- вставить в Ваш сайт
© 2009 Avira GmbH
Авторское право
|
Защита данных
|
Карта сайта
|
Обратная связь
|
О сайте
|
FAQ
|
Контакт
Информация о вирусах
Распечатать эту страницу
.gif)
