Full description

病毒:	BDS/WinO.A
发现日期:	13/12/2012
类型:	后门程序服务器
广泛传播:	是
病毒传播个案呈报：	低程度至中程度
感染/传播能力：	低程度
破坏 / 损害程度：	低程度至中程度
静态文件:	是
文件大小:	63.639 字节
MD5 校检和:	463f93ee63271f385e100aafb53f7790
VDF 版本:	7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:	7.11.53.216 - 13 Aralık 2012 Perşembe

况概描述 别名:
   • Mcafee: Nebuler.b
   • Bitdefender: Trojan.Generic.3563493

平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003

副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

文件它会删除其本身最初执行的副本。

删除以下文件:
   • %TEMPDIR%\fig24.tmp

创建以下文件:

– %TEMPDIR%\fig24.bat
– %SYSDIR%\win%字符串%32.dll 进一步的调查表明，此文件是恶意软件。检测为: TR/Spy.Gen

– %TEMPDIR%\fig24.tmp 进一步的调查表明，此文件是恶意软件。检测为: TR/Spy.Gen

– "%恶意软件执行目录%\%executed file.bat%"

它会尝试下载文件:

– 这些位置如下所示:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=%字符串%&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=%字符串%&cnt=ENU&q=1C74F9

它会尝试执行以下文件:

– 文件名:
   • cmd /c start iexplore -embedding

– 文件名:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding

– 文件名:
   • cmd /c "%TEMPDIR%\fig24.bat"

– 文件名:
   • cmd /c "%恶意软件执行目录%\%executed file.bat%"

注册表会添加以下某个注册值，以便在重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%字符串%32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win%字符串%32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"

会更改以下注册表项:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   新值:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   新值:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

注入进程 – 它会将其本身作为远程线程注入到进程中。

进程名:
• explorer.exe

文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件，它已使用运行时压缩程序进行压缩。

Description inserted by Petre Galan on 6 Nisan 2010 Salı
Description updated by Petre Galan on 6 Nisan 2010 Salı

Geri . . . .

Hesabım