Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Injector.tcc
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:中等程度
文件大小:936448 字节
MD5 校检和:98f74b530d4ebf6850c4bc193c558a98
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 局域网络
   • Messenger


别名:
   •  Kaspersky: Trojan.Win32.Bublik.iza
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750144
   •  DrWeb: BackDoor.IRC.NgrBot.42


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 被用于修改系统设置,允许或扩大潜在的恶意行为。
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %appdata%\%六位数的随机字符串%.exe



创建以下文件:

– %appdata%\%1 digit random character string%.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%六位数的随机字符串%.exe"

 其他 互联网连接:
为了检查互联网连接,会访问以下 DNS 服务器:
   • s177.hot**********.com
   • venus.time**********.pl


事件处理程序 (Event Handler):
它会创建事件处理程序:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


字符串:
此外,它还包含以下字符串:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 文件详细信息 编程语言:
该恶意软件程序是用 Borland C++ 编写的。

Açıklamayı yerleştiren Wensin Lee tarihinde 8 Ekim 2012 Pazartesi
Açıklamayı güncelleyen: Wensin Lee tarihinde 8 Ekim 2012 Pazartesi

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.