Avira 病毒搜索

TR/Dldr.Agent.58697.1

  • 名称
    TR/Dldr.Agent.58697.1
  • 发现日期
    2016年2月25日
  • 类型
    Malware
  • 影响
     
  • 报告的感染
     
  • 操作系统
    Windows
  • VDF 版本
    7.12.61.198 (2016-02-24 08:07)

术语“TR”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。

术语“Dldr”指的是恶意软件样本中会从 Internet 下载另一个恶意文件的部分。

此文件可由恶意用户或恶意软件用来降低安全设置级别。

操作系统:Microsoft Windows。

  • VDF
    7.12.61.198 (2016-02-24 08:07)
  • 别名
    Avast: Win32:Malware-gen
    Dr. Web: Trojan.DownLoader19.30002
    McAfee: RDN/Generic Downloader.x
    Kaspersky Lab: HEUR:Trojan-Downloader.Win32.Generic
  • 文件
    创建以下文件:
    • %TEMPDIR%\nsd1.tmp
    • %TEMPDIR%\nst2.tmp
    • %TEMPDIR%\nsj3.tmp
    • %TEMPDIR%\nsj3.tmp\System.dll
    • %TEMPDIR%\nsj3.tmp\inetc.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\ver[1].txt
    • %temporary internet files%\Content.IE5\LV2JIAKP\setupfa_1123[1].exe
    • %TEMPDIR%\nsj3.tmp\nsExec.dll
    • %TEMPDIR%\nsj3.tmp\ns4.tmp
    • %TEMPDIR%\nsj3.tmp\ns5.tmp
  • 注入
    • %TEMPDIR%\nsj3.tmp\ns4.tmp
  • 注册表
    会添加以下注册表项目:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\QuickSearch] "affid" = "1123"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zdengine] "Type" = dword:00000010 "Start" = dword:00000002 "ErrorControl" = dword:00000001 "ImagePath" = "%PROGRAM FILES%\QuickSearch\zdengine.exe" "DisplayName" = "zdengine" "DependOnService" = "RPCSS;" "DependOnGroup" = "" "ObjectName" = "LocalSystem" "Description" = "zdengine protects your browser" "FailureActions" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zdengine\Security] "Security" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zdengine\Enum] "0" = "Root\LEGACY_ZDENGINE\0000" "Count" = dword:00000001 "NextInstance" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent] @ = dword:00000010
    会更改以下注册表项:
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WS2IFSL] "Type" = dword:00000001 "Start" = dword:00000001 "ErrorControl" = dword:00000001 "DisplayName" = "Windows Socket 2.0 Non-IFS Service Provider Support Environment"
  • HTTP 请求
    • www.*****p.com/ext/ver.txt
    • www.*****p.com/setupfa_1123.exe

将可疑文件/URL 送予我们分析,帮助构建更加安全的网站。

提交您的文件/URL 或者 转到 Avira 疑难解答

为何提交可疑文件?

如果您遇到不在我们数据库中的可疑文件或网站,我们将对其进行分析,确定其是否有害。我们的分析结果将惠及数百万用户,并将纳入下一次病毒数据库更新。如果您已经拥有 Avira,则会获取此更新。尚未拥有 Avira? 请前往 获取

什么是 Avira 疑难解答?

这是我们大力发展的社区,由专业技术人员和兼职专家通力合作,为广大用户解决技术问题。这一 Avira 用户社群是提出问题的绝佳场所。