Вирусная лаборатория Avira

TR/AD.Necurs.Y

  • Имя
    TR/AD.Necurs.Y
  • Date discovered
    21 июля 2015 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.11.249.126 (2015-07-21 17:31)

Термин 'TR' обозначает троян, который в состоянии заполучить ваши данные, нарушить вашу частную жизнь и произвести нежелательные изменения системы.

  • VDF
    7.11.249.126 (2015-07-21 17:31)
  • Alias
    AVG: Downloader.Generic14.ACQW
    Avast: Win32:Dropper-gen
    Bitdefender: Trojan.GenericKD.2586603
    Dr. Web: Trojan.Click3.12222
    ESET: Win32/TrojanDownloader.Necurs.B
    Kaspersky Lab: Trojan-Dropper.Win32.Necurs.zal
    McAfee: Ransom-Crowti!76AD566BAC9D
    Microsoft: Trojan:Win32/Necurs.A
  • Файлы
    Следующие копии самого объекта созданы:
    • %WINDIR%\Installer\{9D52E997-1FE8-485F-8C73-6BB86C5642BC}\syshost.exe
    Следующие файлы созданы:
    • %WINDIR%\Temp\d03aa4e1-99a9-a9dc-0e71-63877be0606a.tmp
    • %WINDIR%\Temp\9d2ec2d0-0f1b-b26d-65aa-58138552e223.tmp
    • %WINDIR%\Temp\64834c30-1ac3-4b3a-9a14-9f4da68523ab.tmp
    • %SYSDIR%\drivers\4b15a.sys
  • Реестр
    Добавляются следующие ключи реестра:
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32] "Type" = dword:00000010 "Start" = dword:00000002 "ErrorControl" = dword:00000000 "ImagePath" = ""%WINDIR%\Installer\{9D52E997-1FE8-485F-8C73-6BB86C5642BC}\syshost.exe" /service" "ObjectName" = "LocalSystem"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32\Security] "Security" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32\Enum] "0" = "Root\LEGACY_SYSHOST32\0000" "Count" = dword:00000001 "NextInstance" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent] @ = dword:0000000f
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32] "a0f36dc7612a794" = %hex values% "173e5affd63cb11b" = %hex values% "b06b1213de925975" = %hex values% "deeda402b7b4628" = %hex values% "e6117f2f45a08f03" = %hex values% "74437b6e35075c6b" = %hex values% "2abb0454c92d7e24" = %hex values%
    • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections] "SavedLegacySettings" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\4b15a] "Type" = dword:00000001 "Start" = dword:00000001 "ErrorControl" = dword:00000000 "ImagePath" = "\??\%SYSDIR%\drivers\4b15a.sys" "DisplayName" = "syshost.exe"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\4b15a\Security] "Security" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\4b15a\Enum] "0" = "Root\LEGACY_4B15A\0000" "Count" = dword:00000001 "NextInstance" = dword:00000001
    Изменяются следующие ключи реестра:
    • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Cache" = "%DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files" "Cookies" = "%DISKDRIVE%\Documents and Settings\LocalService\Cookies" "History" = "%DISKDRIVE%\Documents and Settings\LocalService\Local Settings\History"
  • Запросы HTTP
    • 46.*****.251.39/news/*****.php

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.