Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Drop.Injector.etcf
发现日期:13/12/2012
类型:特洛伊木马
子类型:Dropper
广泛传播:
病毒传播个案呈报:高程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:61.440 字节
MD5 校检和:dd8c3d5370438068e8ff61391d801e7b
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 注册表修改


执行完毕之后会显示以下信息:


 文件 它将本身复制到以下位置:
   • %APPDATA%\Bsnoijhcbqe\E58BA09AD8812EB1728E.exe
   • %TEMP%\%10 位数的随机字符串%.pre
   • %SYSDIR%\7B128C17D8812EB16B33.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%10 位数的随机字符串%.pre;"

 注入进程 – 它会将自己注入到进程中。

 其他 互联网连接:
为了检查互联网连接,会访问以下 DNS 服务器:
   • http://**********-a.com/**********.php?id=**********564549&cmd=img
   • http://**********-a.com/**********.php?id=**********564549&cmd=lfk&data=**********k0wIYg6TtL2zhzZ
   • http://**********-a.com/**********.php?id=**********564549&stat=0


事件处理程序 (Event Handler):
它会创建事件处理程序:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 文件详细信息 编程语言:
该恶意软件程序是用 Visual Basic 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Açıklamayı yerleştiren Wensin Lee tarihinde 27 Nisan 2012 Cuma
Açıklamayı güncelleyen: Wensin Lee tarihinde 27 Nisan 2012 Cuma

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.