需要修復電腦?
聘請專家
Nome del virus:TR/Obisty.A
Scoperto:19/12/2012
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:148.992 Byte
Somma di controllo MD5:89FA070B12AEE94C97F15AFBC8404E00
Versione VDF:7.11.54.86 - mercoledì 19 dicembre 2012
Versione IVDF:7.11.54.86 - mercoledì 19 dicembre 2012

 Generale Metodo di propagazione:
   • Visitando siti web infetti

Individuazione simile:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\KB%stringa casuale di otto caratteri%.exe



Viene creato il seguente file:

%TEMPDIR%\exp3.tmp.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%stringa casuale di otto caratteri% .exe

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://84.22.100.108:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://182.237.17.180:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://123.49.61.59:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://204.15.30.202:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://64.76.19.236:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://59.90.221.6:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://210.56.23.100:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://94.73.129.120:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.143.174.136:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://203.217.147.52:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.207.237.170:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://23.29.73.220:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://69.64.89.82:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.63.229.10:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.86.113.66:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.121.188.156:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://50.22.94.96:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://173.203.102.204:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://74.117.107.25:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://174.142.68.239:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.212.156.170:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.120.226.30:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://78.28.120.32:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://217.65.100.41:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://81.93.250.157:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%
   • http://188.40.109.204:8080/%stringa di caratteri casuale%/%stringa di caratteri casuale%/%stringa di caratteri casuale%

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

 Come il virus si inserisce nei processi – Si inserisce come minaccia nei processi.

Si inserisce in tutti i processi.


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

說明撰寫者 Liviu Serban 開啟 2012年12月19日星期三
說明更新者 Andrei Gherman 開啟 2012年12月19日星期三

返回 . . . .
https:// 為了你的安全,此視窗已加密。