Encyklopedický vstup
Aktualizováno: 14.června 2011 | Zveřejněno: Feb 02, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 14.června 2011 | Zveřejněno: Feb 02, 2011 Aliasy
-
Trojan.MSIL.Petun.a (Kaspersky)
- Mal/MSIL-BA (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.97.840.0 Vydáno: 01.2.2011 |
Shrnutí
PWS:MSIL/Petun.Aje trojan, který krade informace z postiženého počítače. Informace je pak poslán do vzdálené útočník e-mailem nebo nahrát na FTP server.PWS:MSIL/Petun.A je také schopen změně některých nastavení počítače.
Technické informace (analýza)
PWS:MSIL/Petun.Aje trojan, který krade informace z postiženého počítače. Informace je pak poslán do vzdálené útočník e-mailem nebo nahrát na FTP server.PWS:MSIL/Petun.A je také schopen změně některých nastavení počítače.
Instalace
Při spuštění, PWS:MSIL/Petun.Apokusy aby kopíroval sám sebe k počítači pomocí zvláštní název souboru. Ve volné přírodě, to bylo známé použít následující jména:
- svchost.exe
- rsddoser.exe
V závislosti na několika konfigurovatelných nastavení PWS:MSIL/Petun.A může zaslat zprávu na vzdálený útočník prostřednictvím e-mailu nebo FTP úspěšné infekci počítače.
Také přidává položky do systémového registru, takže se automaticky spustí jeho kopii při každém startu Windows, například:
V hodnota: "(Výchozí)" S údaji: "% AppData% \ rsddoser.exe
Užitečná
Upraví nastavení systému
PWS:MSIL/Petun.A modifikuje systémového registru změnit následující nastavení:
PWS:MSIL/Petun.A modifikuje systémového registru změnit následující nastavení:
- Zakáže Správce úloh:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Nastaví hodnotu: " DisableTaskMgr "
Vzhledem k objemu dat: "1" - Odstraní "Spustit" v nabídce Start:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
Nastaví hodnotu: "NoRun"
Vzhledem k objemu dat: "1" - Odstraní místní nabídky z plochy a z Průzkumníka Windows:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
Nastaví hodnotu: "NoViewContextMenu"
Vzhledem k objemu dat: "1" - Vypne příkazový řádek a zabraňuje spuštění počítače dávkové soubory:
V podklíč: HKCU \ Software \ Policies \ Microsoft \ Windows \ System
Nastaví hodnotu: "DisableCMD"
Vzhledem k objemu dat: "2"
To také zakáže Nejméně oprávnění uživatelských účtů (LUA), zajistit, že uživatel není dotázáni, zda malware pokusí spustit škodlivé příkazy. Zákon se také pokouší ukončit Správce úloh, pokud běží.
Vymaže historii internetu
PWS:MSIL/Petun.A může spustit následující příkazy:
PWS:MSIL/Petun.A může spustit následující příkazy:
Rundll32.exe příkaz Inetcpl.cpl ClearMyTracksByProcess 8
Rundll32.exe příkaz Inetcpl.cpl ClearMyTracksByProcess 1
Rundll32.exe příkaz Inetcpl.cpl ClearMyTracksByProcess 2
Rundll32.exe příkaz Inetcpl.cpl ClearMyTracksByProcess 1
Rundll32.exe příkaz Inetcpl.cpl ClearMyTracksByProcess 2
Tyto příkazy jasnou historii internetu.
Krade informace
PWS:MSIL/Petun.A mohou přihlásit stisky kláves, stejně jako krást následující systémové informace:
PWS:MSIL/Petun.A mohou přihlásit stisky kláves, stejně jako krást následující systémové informace:
- Název počítače
- Uživatelské jméno
- Verze operačního systému
- Windows sériový klíč
- Dostupné fyzické paměti
- K dispozici virtuální paměť
- System
- Aktuální čas
Zjištěná data jsou pak poslal na vzdálený útočník buď prostřednictvím e-mailu nebo nahrát na FTP server.
Žádné komentáře:
Okomentovat