Encyklopedie vstup
Aktualizováno: 4.5.2012 | Publikováno: březen 29, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 4.5.2012 | Publikováno: březen 29, 2012 Aliasy
-
BDS/Kelihos.F.50 (Avira)
- Trojan.Packed.2339 (Dr.Web)
- Trojan.Win32.FakeAv.lqyd (Kaspersky)
- Mal/FakeAV-QV (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detection last updated: Definition: 1.127.273.0 Released: May 19, 2012 | Detection initially created: Definition: 1.123.636.0 Released: Mar 29, 2012 |
Summary
Backdoor:Win32/Kelihos.F is a trojan that allows unauthorized remote access and control, via an Internet connection, of an affected computer. The trojan is a component of the Win32/Kelihos malware family. The Win32/Kelihos malware family distributes spam email messages that may contain hyperlinks to installers of the malware. Win32/Kelihos may also communicate with remote computers to exchange information that it uses to execute various tasks, such as sending spam email messages, stealing sensitive information, or downloading and executing arbitrary files.
Symptoms
System changes
The following system changes may indicate the presence of this malware:
- The presence of the following file:
- <system folder>\packet.dll (Není malware)
- <system folder>\wpcap.dll (Není malware)
- <system folder>\drivers\npf.sys (Není malware)
- %windir%\temp\temp68.exe
- Přítomnost těchto dat registru:
V podklíči:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe" V podklíč:
HKCU\Software\IntelNastaví hodnotu: "DATAID"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
Vzhledem k objemu dat: " <variable data> "
Technické informace (analýza)
Backdoor:Win32/Kelihos.F je trojan, který umožňuje neoprávněný vzdálený přístup a ovládání, přes připojení k internetu, postiženého počítače. Trojan je součástí Win32/Kelihosmalware rodina. Win32/Kelihos malware rodina distribuuje spam e-mailových zpráv, které mohou obsahovat hypertextové odkazy na instalaci tohoto malware. Win32/Kelihos may also communicate with remote computers to exchange information that it uses to execute various tasks, such as sending spam email messages, stealing sensitive information, or downloading and executing arbitrary files.
Instalace
Backdoor:Win32/Kelihos.F může být nainstalován jiným malwarem, jako je TrojanDownloader:Win32/Waledac.C nebo jiné varianty Win32/Kelihos. Trojan může být přítomen jako následující soubor:
- %windir%\temp\temp68.exe
Registr je upraven tak, aby provedení trojský kůň v každé Windows start, jako v následujícím příkladu:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe"
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe"
Tento malware vytvoří položky registru ukládá konfigurační data:
V podklíč: HKCU\Software\IntelNastaví hodnotu: "DATAID"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
S údaje: " <variable data> "(data obsahují IP adresy používané malware se spojit s)
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
S údaje: " <variable data> "(data obsahují IP adresy používané malware se spojit s)
Po spuštění Backdoor:Win32/Kelihos.F nainstaluje následující legitimní WinPcap binárky:
- <system folder>\packet.dll (Není malware)
- <system folder>\wpcap.dll (Není malware)
- <system folder>\drivers\npf.sys (Není malware)
Užitečná
Komunikuje se vzdáleným hostitelem plnit další náklad
Backdoor:Win32/Kelihos.F Výměny šifrované zprávy se vzdáleným počítačem přes HTTPk získání další užitečné zatížení pokyny. V závislosti na obsahu zprávy,Kelihos může provádět některé z těchto akcí:
- Aktualizovat seznam počítačů, které malware spojuje a vyměňuje informace s
(Poznámka: Je možné, že počítače v seznamu jsou ohroženy malware stejně) - Poslat spam e-mailových zpráv
- Krást citlivé informace
- Poslat upozornění nebo zprávy
- Stáhnout a spustit libovolný soubor
Další informace
Další informace o Win32/Kelihos, Viz popis jinde v encyklopedii.
Žádné komentáře:
Okomentovat