Encyklopedie vstup
Aktualizováno: 4.5.2012 | Publikováno: březen 29, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 4.5.2012 | Publikováno: březen 29, 2012 Aliasy
-
BDS/Kelihos.F.50 (Avira)
- Trojan.Packed.2339 (Dr.Web)
- Trojan.Win32.FakeAv.lqyd (Kaspersky)
- Mal/FakeAV-QV (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.123.636.0 Vydáno: 29.března 2012 |
Shrnutí
Backdoor:Win32/Kelihos.F je trojan, který umožňuje neoprávněný vzdálený přístup a ovládání, přes připojení k internetu, postiženého počítače. Trojan je součástíWin32/Kelihosmalware rodina. Win32/Kelihos malware rodina distribuuje spam e-mailových zpráv, které mohou obsahovat hypertextové odkazy na instalaci tohoto malware. Win32/Kelihos mohou také komunikovat se vzdálenými počítači, aby si vyměňovaly informace, které používá k provádění různých úkolů, jako je například rozesílání spamu e-mailové zprávy, krádež citlivých informací, nebo stahovat a spouštět libovolné soubory.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost následujícího souboru:
- <system folder>\packet.dll (Není malware)
- <system folder>\wpcap.dll (Není malware)
- <system folder>\drivers\npf.sys (Není malware)
- %windir%\temp\temp68.exe
- Přítomnost těchto dat registru:
V podklíči:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe" V podklíč:
HKCU\Software\IntelNastaví hodnotu: "DATAID"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
Vzhledem k objemu dat: " <variable data> "
Technické informace (analýza)
Backdoor:Win32/Kelihos.F je trojan, který umožňuje neoprávněný vzdálený přístup a ovládání, přes připojení k internetu, postiženého počítače. Trojan je součástí Win32/Kelihosmalware rodina. Win32/Kelihos malware rodina distribuuje spam e-mailových zpráv, které mohou obsahovat hypertextové odkazy na instalaci tohoto malware. Win32/Kelihos mohou také komunikovat se vzdálenými počítači, aby si vyměňovaly informace, které používá k provádění různých úkolů, jako je například rozesílání spamu e-mailové zprávy, krádež citlivých informací, nebo stahovat a spouštět libovolné soubory.
Instalace
Backdoor:Win32/Kelihos.F může být nainstalován jiným malwarem, jako je TrojanDownloader:Win32/Waledac.C nebo jiné varianty Win32/Kelihos. Trojan může být přítomen jako následující soubor:
- %windir%\temp\temp68.exe
Registr je upraven tak, aby provedení trojský kůň v každé Windows start, jako v následujícím příkladu:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe"
Nastaví hodnotu: "IntelAgent"
S údaje: "%windir%\temp\temp68.exe"
Tento malware vytvoří položky registru ukládá konfigurační data:
V podklíč: HKCU\Software\IntelNastaví hodnotu: "DATAID"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
S údaje: " <variable data> "(data obsahují IP adresy používané malware se spojit s)
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA"
S údaje: "0x00000050" Nastaví hodnotu: "
DATA2"
Vzhledem k objemu dat: " <variable data> " Nastaví hodnotu: "
DATA3"
S údaje: " <variable data> "(data obsahují IP adresy používané malware se spojit s)
Po spuštění Backdoor:Win32/Kelihos.F nainstaluje následující legitimní WinPcap binárky:
- <system folder>\packet.dll (Není malware)
- <system folder>\wpcap.dll (Není malware)
- <system folder>\drivers\npf.sys (Není malware)
Užitečná
Komunikuje se vzdáleným hostitelem plnit další náklad
Backdoor:Win32/Kelihos.F Výměny šifrované zprávy se vzdáleným počítačem přes HTTPk získání další užitečné zatížení pokyny. V závislosti na obsahu zprávy,Kelihos může provádět některé z těchto akcí:
- Aktualizovat seznam počítačů, které malware spojuje a vyměňuje informace s
(Poznámka: Je možné, že počítače v seznamu jsou ohroženy malware stejně) - Poslat spam e-mailových zpráv
- Krást citlivé informace
- Poslat upozornění nebo zprávy
- Stáhnout a spustit libovolný soubor
Další informace
Další informace o Win32/Kelihos, Viz popis jinde v encyklopedii.
Žádné komentáře:
Okomentovat