Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Spy.8192.133
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:8.192 字节
MD5 校检和:5b80ab11e472cd8e26ef1ade5855e17e
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %驱动器%\Seguridad\@b@ddon.exe
   • C:\Seguridad\ctfmon.exe
   • C:\Bootfont.sys
   • %回收站%\Bootfont.sys



创建以下文件:

%驱动器%\AutoRun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

%回收站%\boot.ini
%回收站%\AUTOEXEC.BAT
%回收站%\NTDETECT.COM
%回收站%\ntldr
%回收站%\CONFIG.SYS
%回收站%\IO.SYS
%回收站%\MSDOS.SYS

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "index"="C:\Seguridad\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "index"="C:\Seguridad\ctfmon.exe"



会更改以下注册表项:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "Hidden"="2"
   • "HideFileExt"="Seguridad"

– [HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows]
   新值:
   • "load"="C:\Seguridad\ctfmon.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新值:
   • "Shell"="Explorer.exe,C:\Seguridad\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新值:
   • "Shell"="Explorer.exe,C:\Seguridad\ctfmon.exe"

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Açıklamayı yerleştiren Ana Maria Niculescu tarihinde 8 Temmuz 2010 Perşembe
Açıklamayı güncelleyen: Ana Maria Niculescu tarihinde 14 Temmuz 2010 Çarşamba

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.