Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:TR/Tcom.2
发现日期:13/12/2012
类型:特洛伊木马
子类型:Downloader
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:
文件大小:26.624 字节
MD5 校检和:8e3cf147f6d642b4e0808cec743d856e
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对安全网站的访问
   • 降低系统安全设置
   • 记录按键
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %SYSDIR%\windldra.exe



删除以下文件:
   • %WINDIR%\send_logs_trigger



创建以下文件:

– %WINDIR%\netdx.dat 此文件用作内部例程标志。
– %WINDIR%\dvpd.dll
– %WINDIR%\prntsvra.dll
– %TEMPDIR%\fe43e701.htm 此文件包含搜集的按键。
– %WINDIR%\prntc.log
– %WINDIR%\prntk.log

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



会添加以下注册表项目注册值:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%随机字符串%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,不会修改已存在的项目。

– 阻挡以下域名的访问:
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




修改后的hosts 文件将如下所示:


 后门程序 会打开以下端口:

%执行的文件% 在随机 TCP 端口上 以便提供代理服务器。
%执行的文件% 在 TCP 端口上 9125 以便提供后门功能。


访问服务器:
以下内容:
   • http://222.36.41.**********/system32/logger.php

因此它可能会发送某些信息。 这是通过在 PHP 脚本中执行 HTTP GET 请求来完成的。


发送有关以下内容的信息:
    • 创建的日志文件
    • 有关网络的信息
    • 平台 ID

 窃取 它会尝试窃取以下信息:

– 来自以下程序的密码:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– 在访问 URL 中包含以下某个子字符串的网站之后,会启动日志记录例程:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– 它会捕获:
    • 按键
    • 窗口信息
    • 浏览器窗口
    • 登录信息

 注入进程 – 它会将自己注入到进程中。

    进程名:
   • Internet Explorer


Açıklamayı yerleştiren Sergiu Oprea tarihinde 3 Ağustos 2005 Çarşamba
Açıklamayı güncelleyen: Oliver Auerbach tarihinde 18 Ekim 2005 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.