Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:WORM/Taterf.D.176
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度至中程度
文件大小:306.688 字节
MD5 校检和:1D5A2A898AB834BBD6BAFF2DFAC69DFD
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Trojan.Win32.Agent2.dolr
   •  TrendMicro: TROJ_ONLING.WPG
   •  Sophos: Mal/Taterf-D
   •  Avast: Win32:Frecod [Trj]
   •  Microsoft: Worm:Win32/Taterf.D


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 植入文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\v3avast.exe



它会删除其本身最初执行的副本。




它会尝试下载一些文件:

– 该位置如下所示:
   • www.baidutrg.**********/1hg/ah1.rar
它会保存在硬盘驱动器以下的位置: %SYSDIR%\v3avie0.dll 进一步的调查表明,此文件是恶意软件。

– 该位置如下所示:
   • www.baidumls.**********/1hg/ah.rar
它会保存在硬盘驱动器以下的位置: %SYSDIR%\v3avmn0.dll 进一步的调查表明,此文件是恶意软件。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "V3_reg"="%SYSDIR%\v3avast.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DNA_reg"="%SYSDIR%\dnav3.exe"



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Classes\CLSID\
   {6EB54244-231D-4ED0-8518-3A50F06096A3}]
   • @="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   VersionIndependentProgID]
   • @="IEHlprObj.IEHlprObj"

– [HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   ProgID]
   • @="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   InprocServer32]
   • @="%SYSDIR%\dnaie0.dll"
   • "ThreadingModel"="Apartment"

 其他 伪装受信任的文件 :
其进程会伪装成以下受信任的进程: v3avast.exe

Açıklamayı yerleştiren Andrei Ilie tarihinde 25 Temmuz 2011 Pazartesi
Açıklamayı güncelleyen: Andrei Ilie tarihinde 25 Temmuz 2011 Pazartesi

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.