Encyklopedický vstup
Aktualizováno: 23.května 2011 | Vydáno: 23. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 23.května 2011 | Vydáno: 23. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.103.1798.0 Vydáno: 16.května 2011 |
Shrnutí
Backdoor:Win32/Xtrat.A je trojan, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: c: \ documents and settings \ Administrator \ Data aplikací \ Microsoft \ Windows \ - ((mutex)) - XTR.
- Přítomnost těchto úprav registru:
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe
Přidanou hodnotu: "HKLM"
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ Xtreme \ xtremeserver.exe"
Do podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ Xtreme \ xtremeserver.exe"
Do podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "HKCU"
s údaji: "C: \ documents and settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: StubPath
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {4c545v67-vdf7-r23m- 6j1p-131bxv0a7x27}
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {4c545v67-vdf7-r23m- 6j1p-131bxv0a7x27}
Přidanou hodnotu: "Locked"
Vzhledem k objemu dat: "1"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar
Vzhledem k objemu dat: "1"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar
Technické informace (analýza)
Backdoor:Win32/Xtrat.A je trojan, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem.
Instalace
Po spuštění Backdoor:Win32/Xtrat.Azkopíruje do c: \ Documents and settings \ Administrator \ Local Settings \ Temp \ \ xtremeserver.exe Xtreme .
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "HKLM"
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ Xtreme \ xtremeserver.exe"
Do podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ Xtreme \ xtremeserver.exe"
Do podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "HKCU"
s údaji: "C: \ documents and settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: StubPath
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {4c545v67-vdf7-r23m- 6j1p-131bxv0a7x27}
s údaji: "C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ \ Xtreme xtremeserver.exe"
Do podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {4c545v67-vdf7-r23m- 6j1p-131bxv0a7x27}
Malware vytvoří následující soubory na postiženém počítači:
- c: \ documents and settings \ Administrator \ Data aplikací \ Microsoft \ Windows \ - ((mutex)) - XTR.
Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyBackdoor:Win32/Xtrat.A spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- IEXPLORE.EXE
- svchost.exe
Užitečná
Změní nastavení prohlížeče
Backdoor:Win32/Xtrat.Auzamkne Internet Explorer panel nástrojů tím, že následující registru aktualizace: přidanou hodnotu: "Locked" Vzhledem k objemu dat: "1" Pro podklíč: HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar
Umožňuje backdoor přístup a kontrolu
Malware umožňují neoprávněný přístup a kontrolu nad napadeným počítačem. Útočník může provést libovolné množství různých akcí na postiženém počítači pomocíBackdoor:Win32/Xtrat.A. To by mohlo zahrnovat, ale není omezena, následujících akcí:
- Stáhnout a spustit libovolný soubor
- Upload souborů
- Šířit do dalších počítačů pomocí různých metod šíření
- Přihlaste se stisky kláves nebo krást citlivá data
- Měnit nastavení systému
- Spustit nebo ukončit aplikace
- Odstranit soubory
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA13dee531e2ee60eee11024d08a9a00afd24283647 .
Žádné komentáře:
Okomentovat