需要修复电脑?
聘请专家
VrusTR/Obisty.A
Data em que surgiu:19/12/2012
Tipo:Trojan
Includo na lista "In The Wild"No
Nvel de danos:Mdio
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:148.992 Bytes
MD5 checksum:89FA070B12AEE94C97F15AFBC8404E00
Verso VDF:7.11.54.86 - quarta-feira, 19 de dezembro de 2012
Verso IVDF:7.11.54.86 - quarta-feira, 19 de dezembro de 2012

 Vulgarmente Meio de transmisso:
   • Ao visitar sites infectados

Deteco similar:
     JS/Redirector.SB
     EXP/Pidief.zar


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %APPDATA%\KB%oito caracteres aleatrios%.exe



criado o seguinte ficheiro:

%TEMPDIR%\exp3.tmp.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%oito caracteres aleatrios% .exe

 Backdoor Contacta o servidor:
Um dos seguintes:
   • http://84.22.100.108:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://182.237.17.180:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://123.49.61.59:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://204.15.30.202:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://64.76.19.236:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://59.90.221.6:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://210.56.23.100:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://94.73.129.120:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://174.143.174.136:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://203.217.147.52:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://74.207.237.170:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://23.29.73.220:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://69.64.89.82:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://74.63.229.10:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://74.86.113.66:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://174.121.188.156:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://50.22.94.96:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://173.203.102.204:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://74.117.107.25:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://174.142.68.239:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://188.212.156.170:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://188.120.226.30:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://78.28.120.32:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://217.65.100.41:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://81.93.250.157:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%
   • http://188.40.109.204:8080/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%/%uma srie de caracteres aleatrios%

Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto. Isto feito usando o mtodo HTTP POST atravs de scripts PHP.

 Introduo de cdigo viral noutros processos  injetado automaticamente como um thread nos processos.

injetado em todos os processos.


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

说明添加者: Liviu Serban 打开 2012年12月19日星期三
说明更新者: Andrei Gherman 打开 2012年12月19日星期三

反馈 . . . .
https:// 为了你的安全,此窗口已加密。