Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Obisty.A
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:中等程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:148.992 字节
MD5 校检和:89FA070B12AEE94C97F15AFBC8404E00
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 通过访问受感染网站

相似检测:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 第三方控件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %APPDATA%\KB%八位数的随机字符串%.exe



创建以下文件:

– %TEMPDIR%\exp3.tmp.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%八位数的随机字符串% .exe

 后门程序 访问服务器:
以下某项内容:
   • http://84.22.100.108:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://182.237.17.180:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://123.49.61.59:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://204.15.30.202:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://64.76.19.236:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://59.90.221.6:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://210.56.23.100:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://94.73.129.120:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://174.143.174.136:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://203.217.147.52:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://74.207.237.170:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://23.29.73.220:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://69.64.89.82:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://74.63.229.10:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://74.86.113.66:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://174.121.188.156:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://50.22.94.96:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://173.203.102.204:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://74.117.107.25:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://174.142.68.239:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://188.212.156.170:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://188.120.226.30:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://78.28.120.32:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://217.65.100.41:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://81.93.250.157:8080/%随机字符串%/%随机字符串%/%随机字符串%
   • http://188.40.109.204:8080/%随机字符串%/%随机字符串%/%随机字符串%

因此它可能会发送信息并提供远程控制。 这是通过用 PHP 脚本执行 HTTP POST 方法来完成的。

 注入进程 – 它将自己作为线程注入到进程中。

它被注入到所有进程中。


 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Açıklamayı yerleştiren Liviu Serban tarihinde 19 Aralık 2012 Çarşamba
Açıklamayı güncelleyen: Andrei Gherman tarihinde 19 Aralık 2012 Çarşamba

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.