Encyklopedický vstup
Aktualizováno: 1.3.2012 | Vydáno: Feb 29, 2012 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 1.3.2012 | Vydáno: Feb 29, 2012 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.119.662.0 Vydáno: leden 26, 2012 |
Shrnutí
Backdoor: Win32/IRCbot.FY je členem Win32/IRCbot - široká rodina trojských koní backdoor, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem pomocí dálkového útočník přes IRC.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
- Přítomnost těchto úprav registru:
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Pro
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Pro
Technické informace (analýza)
Backdoor: Win32/IRCbot.FY je členem Win32/IRCbot - široká rodina trojských koní backdoor, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem pomocí dálkového útočník přes IRC.
Instalace
Po spuštění Backdoor: Win32/IRCbot.FY zkopíruje do c: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe .
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Se šíří ...
Vyjímatelné disky
Backdoor: Win32/IRCbot.FY zkopíruje do těchto míst na vyměnitelné jednotky:
To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je vyměnitelný disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
- < cílený disk >: \ Updates \ drivers \ system.exe
To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je vyměnitelný disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Poznámka: Tento červ byl pozorován napsat a vytvořit spustitelný soubor autorun.inf na cílené disku v naší automatizované testovací prostředí. Toto je zvláště obyčejné malware chování, obecně využívány k šíření škodlivého softwaru z počítače do počítače.
Je třeba také poznamenat, že soubory autorun.inf samy o sobě nejsou nutně známky infekce, jako jsou používány legitimními programů a instalačních CD.
Malware může také vytvořit následující soubory na určitá jednotek při nanášení:
- < cílený disk >: \ Updates \ drivers \ Desktop.ini
Užitečná
Upraví nastavení zabezpečení systému
Backdoor: Win32/IRCbot.FY přidá se do seznamu aplikací, které jsou oprávněny k přístupu na internet, aniž by se zastavil u Firewall, tím, že v registru následující úpravy: Přidává hodnotu: "Microsoft" Vzhledem k objemu dat: "C: \ dokumenty a Nastavení \ administrator \ Data aplikací \ lsass.exe " Pro
Umožňuje backdoor přístup a kontrolu
Malware umožňují neoprávněný přístup a kontrolu nad napadeným počítačem. Útočník může provést libovolné množství různých akcí na postiženého počítače pomocí Backdoor: Win32/IRCbot.FY. To by mohlo zahrnovat, ale není omezena, následujících akcí:
- Stáhnout a spustit libovolný soubor
- Upload souborů
- Šířit do dalších počítačů pomocí různých metod šíření
- Přihlaste se stisky kláves nebo krást citlivá data
- Měnit nastavení systému
- Spustit nebo ukončit aplikace
- Odstranit soubory
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA139acb10bbd6ea70a017efc3cddad25f1a377bf9c .
Žádné komentáře:
Okomentovat