需要修复电脑?
聘请专家
VírusTR/Obisty.A
Data em que surgiu:19/12/2012
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:148.992 Bytes
MD5 checksum:89FA070B12AEE94C97F15AFBC8404E00
Versão VDF:7.11.54.86 - quarta-feira, 19 de dezembro de 2012
Versão IVDF:7.11.54.86 - quarta-feira, 19 de dezembro de 2012

 Vulgarmente Meio de transmissão:
   • Ao visitar sites infectados

Detecção similar:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %APPDATA%\KB%oito caracteres aleatórios%.exe



É criado o seguinte ficheiro:

%TEMPDIR%\exp3.tmp.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%oito caracteres aleatórios% .exe

 Backdoor Contacta o servidor:
Um dos seguintes:
   • http://84.22.100.108:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://182.237.17.180:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://123.49.61.59:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://204.15.30.202:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://64.76.19.236:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://59.90.221.6:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://210.56.23.100:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://94.73.129.120:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://174.143.174.136:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://203.217.147.52:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://74.207.237.170:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://23.29.73.220:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://69.64.89.82:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://74.63.229.10:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://74.86.113.66:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://174.121.188.156:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://50.22.94.96:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://173.203.102.204:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://74.117.107.25:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://174.142.68.239:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://188.212.156.170:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://188.120.226.30:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://78.28.120.32:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://217.65.100.41:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://81.93.250.157:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%
   • http://188.40.109.204:8080/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%/%uma série de caracteres aleatórios%

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP POST através de scripts PHP.

 Introdução de código viral noutros processos – É injetado automaticamente como um thread nos processos.

É injetado em todos os processos.


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

说明添加者: Liviu Serban 打开 2012年12月19日星期三
说明更新者: Andrei Gherman 打开 2012年12月19日星期三

反馈 . . . .
https:// 为了你的安全,此窗口已加密。