Вирусная лаборатория Avira

TR/Barys.651168

  • Имя
    TR/Barys.651168
  • Date discovered
    18 дек. 2015 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.12.34.114 (2015-12-05 08:27)

Относительно 'TR' речь идет о троянском коне, который в состоянии заполучит ваши данные, нарушить вашу частную сферу и производить нежелательные изменения системы.

  • VDF
    7.12.34.114 (2015-12-05 08:27)
  • Alias
    Avast: Win32:Malware-gen
    AVG: Win32/Heri
    Dr. Web: Adware.Downware.13428
    G Data: Adware.OptiAds.B
    Bitdefender: Adware.OptiAds.B
  • Файлы
    Следующие файлы изменены:
    • %SYSDIR%\wbem\Logs\wbemcore.log
    • %WINDIR%\Prefetch\ALG.EXE-0F138680.pf
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Reader\9.2\ARM\BIT1.tmp
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    Следующие файлы переименованы:
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Reader\9.2\ARM\BIT1.tmp
    Следующие файлы удалены:
    • %USERPROFILE%\Cookies\biluta@cnfg[1].txt
    • %USERPROFILE%\Cookies\biluta@cnfg[2].txt
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120520131206\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120520131206
    Следующие файлы созданы:
    • %USERPROFILE%\Cookies\biluta@cnfg[1].txt
    • %USERPROFILE%\Cookies\biluta@cnfg[2].txt
    • %temporary internet files%\Content.IE5\LV2JIAKP\boot2[1].htm
    • %temporary internet files%\Content.IE5\A9SFWXZG\mtdef[1].js
    • %temporary internet files%\Content.IE5\QH9ZEEV0\jquery.min[1].js
    • %temporary internet files%\Content.IE5\LV2JIAKP\json2[1].js
    • %temporary internet files%\Content.IE5\5KMEPSXE\loader[1].js
    • %temporary internet files%\Content.IE5\A9SFWXZG\mainBase[1].js
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012015121820151219\index.dat
    • %temporary internet files%\Content.IE5\QH9ZEEV0\sfrv[1].js
  • Реестр
    Удаляются значения следующих ключей реестра:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates (4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5: -)
    Добавляются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS ("StateIndex": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 ("Blob": %hex values%)
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION ("sample.exe": dword:00002710)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012015121820151219 ("CachePath": "%USERPROFILE%\Local Settings\History\History.IE5\MSHist012015121820151219\"; "CachePrefix": ":2015121820151219: "; "CacheLimit": dword:00002000; "CacheOptions": dword:0000000b; "CacheRepair": dword:00000000)
  • Запросы HTTP
    • services.*****oadbeam.com/reports/jsCnt.srf?rid=cnpyprcs_${VRSN}_${MMPRDCT}_noav_firstinit[5.1_ffx_9]&hardId=0e65300dbf9e1184a78122c9e16654b1&tag=$TAG$
    • services.*****oadbeam.com/cnfg/boot2.srf?prdct=${MMPRDCT}&vrsn=${VRSN}&instlDate=${instlDay}&smplGrp=${SMPLGRP}&afltId=${afltId}&hrdId=0e65300dbf9e1184a78122c9e16654b1&apps=${APPS}&tlbrid=base&instlRef=${INSTLREF}&prms=${appPrms}&rd=1&sprtChrPp=1&tag=${TAG}&actv=&allv=
    • cdn.*****oadbeam.com/boot/cnfg/mtdef.js?v=11
    • cdn.*****oadbeam.com/boot/js/jquery.min.js?v=11
    • cdn.*****oadbeam.com/boot/js/json2.js?v=11
    • cdn.*****oadbeam.com/boot/js/loader.js?v=11
    • cdn.*****oadbeam.com/boot/js/mainBase.js?v=11
    • cdn.*****oadbeam.com/mmc/1.4.7/newxtn/sfrv.js?t=11?v=381

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.