Avira 病毒搜索

TR/Crypt.XPACK.xycs

  • 名称
    TR/Crypt.XPACK.xycs
  • 发现日期
    2016年3月29日
  • 类型
    Malware
  • 影响
     
  • 报告的感染
     
  • 操作系统
    Windows
  • VDF 版本
    7.12.75.244 (2016-03-28 17:54)

术语“TR”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。

  • VDF
    7.12.75.244 (2016-03-28 17:54)
  • 别名
    ESET: Win32/TrojanDownloader.Necurs.B
    Kaspersky Lab: Trojan-Dropper.Win32.Necurs.aagz
  • 文件
    创建以下自身的副本:
    • %WINDIR%\Installer\{F760952E-AD69-70E5-D6CC-F06DB1E881A1}\syshost.exe
    • %WINDIR%\Installer\{F760952E-AD69-70E5-D6CC-F06DB1E881A1}\syshost.exe
    创建以下文件:
    • %DISKDRIVE%\spoolerlogs\spooler.xml
    • %TEMPDIR%\WER3c38.dir00\explorer.exe.mdmp
    • %TEMPDIR%\WER3c38.dir00\explorer.exe.hdmp
    • %WINDIR%\pchealth\ERRORREP\UserDumps\winlogon.exe.20160329-011441-00.hdmp
    • %WINDIR%\pchealth\ERRORREP\UserDumps\winlogon.exe.20160329-011441-00.mdmp
    重命名以下文件:
    • %WINDIR%\Installer\{F760952E-AD69-70E5-D6CC-F06DB1E881A1}\syshost.exe
  • 注入
    • %all running processes%
  • 注册表
    会添加以下注册表项目:
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32] "Type" = dword:00000010 "Start" = dword:00000002 "ErrorControl" = dword:00000000 "ImagePath" = ""%WINDIR%\Installer\{F760952E-AD69-70E5-D6CC-F06DB1E881A1}\syshost.exe" /service" "ObjectName" = "LocalSystem"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32\Enum] "0" = "Root\LEGACY_SYSHOST32\0000" "Count" = dword:00000001 "NextInstance" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent] @ = dword:0000000f
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults] "C:\\WINDOWS\\PCHealth\\ErrorRep\\UserDumps\\winlogon.exe.20160329-011441-00.mdmp" = %hex values%
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck" = "%systemroot%\system32\dumprep 0 -u"
    会更改以下注册表项:
    • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "AppData" = "%DISKDRIVE%\Documents and Settings\LocalService\Application Data"

将可疑文件/URL 送予我们分析,帮助构建更加安全的网站。

提交您的文件/URL 或者 转到 Avira 疑难解答

为何提交可疑文件?

如果您遇到不在我们数据库中的可疑文件或网站,我们将对其进行分析,确定其是否有害。我们的分析结果将惠及数百万用户,并将纳入下一次病毒数据库更新。如果您已经拥有 Avira,则会获取此更新。尚未拥有 Avira? 请前往 获取

什么是 Avira 疑难解答?

这是我们大力发展的社区,由专业技术人员和兼职专家通力合作,为广大用户解决技术问题。这一 Avira 用户社群是提出问题的绝佳场所。