Вирусная лаборатория Avira

BDS/Backdoor.A.3920

  • Имя
    BDS/Backdoor.A.3920
  • Date discovered
    01 окт. 2015 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.11.224.132 (2015-04-16 11:58)

Термин 'BDS' обозначает программу backdoor сервера. Backdoor-программы используются для шпионажа, изменения или удаления данных.

  • VDF
    7.11.224.132 (2015-04-16 11:58)
  • Alias
    Avast: Win32:Downloader-UCK
    AVG: Generic_r.DCT
    Dr. Web: Win32.HLLW.Autoruner2.7881
    F-PROT: W32/QQhelper.C.gen!Eldorado (generic, not disinfectable)
    McAfee: RDN/Generic Downloader.x!nh
    Microsoft: DDoS:Win32/Nitol.A
    G Data: Generic.ServStart.3FB653A9
    Kaspersky Lab: HEUR:Trojan.Win32.Generic
    Bitdefender: Generic.ServStart.3FB653A9
    ESET: Win32/ServStart.AD trojan
  • Файлы
    Следующие копии самого объекта созданы:
    • %SYSDIR%\ccywco.exe
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Defghi Kewrlmnopqr Tuv ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": "%SYSDIR%\ccywco.exe"; "DisplayName": "Defghi Klmnweropqr Tuvwxyab Defg"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Defghi Kewrlmnopqr Tuv\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DEFGHI_KEWRLMNOPQR_TUV ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DEFGHI_KEWRLMNOPQR_TUV\0000 ("Service": "Defghi Kewrlmnopqr Tuv"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "Defghi Klmnweropqr Tuvwxyab Defg")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DEFGHI_KEWRLMNOPQR_TUV\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "Defghi Kewrlmnopqr Tuv")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Defghi Kewrlmnopqr Tuv\Enum ("0": "Root\LEGACY_DEFGHI_KEWRLMNOPQR_TUV\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:0000000f)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Defghi Kewrlmnopqr Tuv ("Description": "Defghijk Mwernopqrstu Wxyabcd Fghijklm Opq")

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.