Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/VB.Inject.GP.61
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:167.936 字节
MD5 校检和:495BAA02D14599EB61524D6C6A1DB936
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • Messenger


别名:
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.ame
   •  TrendMicro: TROJ_SPNR.02GK11
   •  Sophos: Mal/VB-YG


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 植入文件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • C:\Documents and Settings\%当前用户名%\Application Data\%随机字符串%.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="C:\Documents and Settings\%当前用户名%\Application Data\%随机字符串%.exe"

 Messenger 它是通过 Messenger 传播的。 下面说明了它的特征:

– Windows Live Messenger

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: **********ina.com
端口: 7777
服务器密码: laekin0505x
通道: #totalrenovation2011
昵称: %随机字符串%
密码: ngrBot



– 此恶意软件能够搜集并发送类似如下信息:
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 与 IRC 服务器断开连接
    • 加入 IRC 通道
    • 离开 IRC 通道
    • 执行 DDoS 攻击
    • 启动传播例程

 后门程序 会打开以下端口:

– svchost.exe 在随机 UDP 端口上

 窃取 它会尝试窃取以下信息:
– 在“密码输入字段”中输入的密码

– 在访问以下某个网站之后,启动日志记录例程:
   • *1and1.com; *4shared.com; *alertpay.com; *aol.*; *bigstring.*;
      *depositfiles.*; *dotster.com; *dyndns*; *enom.com; *facebook.*;
      *fastmail.*; *fileserv.com; *filesonic.com; *freakshare.com; *gmx.*;
      *godaddy.com; *google.*; *hackforums.*; *hotfile.com; *letitbit.net*;
      *login.live.*; *login.yahoo.*; *mediafire.com; *megaupload.*;
      *members*.iknowthatgirl*; *members.brazzers.com*; *moneybookers.*;
      *moniker.com; *namecheap.com; *netflix.com; *netload.in; *no-ip*;
      *officebanking.cl; *oron.com; *paypal.*; *runescape*;
      *screenname.aol.*; *secure.logmein.*; *sendspace.com;
      *signin.ebay*SignIn; *sms4file.com; *speedyshare.com; *steampowered*;
      *thepiratebay.org; *torrentleech.org; *twitter.com; *uploaded.to;
      *uploading.com; *vip-file.com; *webnames.ru; *what.cd; *youporn.*

– 它会捕获:
    • 登录信息

 注入进程 – 它会将其本身作为远程线程注入到进程中。

    进程名:
   • explorer.exe

已有效阻止对以下网站的访问:
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 其他 访问 Internet 资源:
   • http://api.wipmania.com/

 文件详细信息 编程语言:
该恶意软件程序是用 Visual Basic 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Açıklamayı yerleştiren Andrei Ilie tarihinde 20 Eylül 2011 Salı
Açıklamayı güncelleyen: Andrei Ilie tarihinde 20 Eylül 2011 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.