Avira 病毒搜尋

BDS/Androm.uda

  • 名稱
    BDS/Androm.uda
  • 发现日期
    2015年11月24日
  • 類型
    Malware
  • 影響
     
  • 報告的感染
     
  • 作業系統
    Windows
  • VDF 版本
    7.11.82.162 (2013-06-04 02:34)

'BDS' 一詞表示後門伺服器程式。居心不良的人會使用後門伺服器程式來偵察、修改或刪除資料。

  • VDF
    7.11.82.162 (2013-06-04 02:34)
  • 別名
    Avast: Win32:MalPack-G
    AVG: SHeur4.BJTP
    ClamAV: Win.Trojan.Agent-944769
    Dr. Web: BackDoor.IRC.NgrBot.42
    F-PROT: W32/Dorkbot.P.gen!Eldorado (generic, not disinfectable)
    Trend Micro: WORM_DORKBOT.SK
    Microsoft: Worm:Win32/Dorkbot.I
    G Data: Trojan.Dorkbot.IC
    Kaspersky Lab: Trojan.Win32.Agent.ibnd
    Bitdefender: Trojan.Dorkbot.IC
    ESET: Win32/Dorkbot.B worm
  • 檔案
    建立下列自身複本:
    • %APPDATA%\temp.bin
    • %APPDATA%\ScreenSaverPro.scr
    • %USERPROFILE%\Start Menu\Programs\Startup\NTDETECT.COM
    • %APPDATA%\Microsoft\Klocom.exe
    重新命名下列檔案:
    • %TEMPDIR%\WinPcap_4_1_3.exe
    刪除下列檔案:
    • %TEMPDIR%\WinPcap_4_1_3.exe.gonewiththewings
    變更下列檔案:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Sti_Trace.log
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Prefetch\SVCHOST.EXE-3530F672.pf
  • 插入
    • %SYSDIR%\cmd.exe
    • %SYSDIR%\ipconfig.exe
    • %DISKDRIVE%\hips\loader.exe
    • %WINDIR%\System32\svchost.exe
    • %SYSDIR%\svchost.exe
    • %SYSDIR%\mspaint.exe
    • \SystemRoot\System32\smss.exe
    • \??\%SYSDIR%\csrss.exe
    • \??\%SYSDIR%\winlogon.exe
    • %SYSDIR%\services.exe
    • %PROGRAM FILES%\VMware\VMware Tools\vmacthlp.exe
    • %WINDIR%\Explorer.EXE
    • %SYSDIR%\spoolsv.exe
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server Interface.exe
    • %PROGRAM FILES%\VMware\VMware Tools\VMwareTray.exe
    • %PROGRAM FILES%\VMware\VMware Tools\vmtoolsd.exe
    • %WINDIR%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server.exe
    • %WINDIR%\System32\alg.exe
    • %SYSDIR%\wscntfy.exe
    • %DISKDRIVE%\totalcmd\TOTALCMD.EXE
    • %SYSDIR%\msiexec.exe
    • %PROGRAM FILES%\Java\jre6\bin\jqs.exe
    • %SYSDIR%\wbem\wmiprvse.exe
    • %PROGRAM FILES%\WinPcap\rpcapd.exe
  • 登錄
    新增下列登錄授權碼:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Screen Saver Pro 3.1": "%APPDATA%\ScreenSaverPro.scr")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_STISVC\0000\Control ("ActiveService": "stisvc")
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Klocom": "%APPDATA%\Microsoft\Klocom.exe")
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    移除下列登錄授權碼的值:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (StillImageMonitor: -)
  • HTTP 請求
    • api.*****nia.com/

將可疑的檔案/URL 送予我們分析,助力構建更安全的網站。

送出您的檔案/URL 或者 請前往 Avira 問答區

為何送出可疑的檔案?

如果您遇到不在我們資料庫中的可疑檔案或網站,我們會對其進行分析,確定其是否有害。我們的分析結果將向數百萬名用戶公開,並納入下一次病毒資料庫更新。如果您擁有 Avira,您也將取得此更新。尚未擁有 Avira?請前往 我們的首頁獲取。

何為 Avira 問答區?

Avira 問答區是我們大力發展的社區,由專業技術人員和兼職專家並肩合作,幫助解決技術問題。這一 Avira 用戶社區是您提出問題的絕佳場所。