Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Září 16, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Září 16, 2010 Aliasy
-
Backdoor.Win32.IRCNite.jg (Kaspersky)
- Trojan.Zbot (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.73.24.0 Vydáno: 22.ledna 2010 |
Shrnutí
TrojanDownloader:Win32/Carberp.Aje trojan, který tiše stáhne a nainstaluje další programy bez svého souhlasu. To by mohlo zahrnovat instalaci dalšího malwaru nebo škodlivého softwaru, komponentů do postiženého počítače.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: c: \ documents and settings \ Administrator \ Local Settings \ Temp \ 10.tmp
c: \ documents and settings \ Administrator \ Local Settings \ Temp \ 11.tmp
c: \ documents and settings \ Administrator \ Local Settings \ Temp \ 12. tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 13.tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 14.tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 15 . tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 16.tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 17.tmp
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ e.tmp
c: \ documents and settings \ Administrator \ Local Settings \ Temp \ f.tmp
c: \ documents and settings \ Administrator \ Nabídka Start \ Programy \ Po spuštění \ msconfig32.exe
Technické informace (analýza)
TrojanDownloader:Win32/Carberp.Aje trojan, který tiše stáhne a nainstaluje další programy bez svého souhlasu. To by mohlo zahrnovat instalaci dalšího malwaru nebo škodlivého softwaru, komponentů do postiženého počítače.
Instalace
Po spuštění TrojanDownloader:Win32/Carberp.A zkopíruje na následujících místech:
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 11.tmp
- c: \ documents and settings \ Administrator \ Nabídka Start \ Programy \ Po spuštění \ msconfig32.exe
Malware vytvoří následující soubory na postiženém počítači:
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 10.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 12.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 13.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 14.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 15.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 16.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 17.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ e.tmp
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ f.tmp
Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyTrojanDownloader:Win32/Carberp.A spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- explorer.exe
Užitečná
Kontakty vzdálený hostitel
TrojanDownloader:Win32/Carberp.A mohou obrátit na vzdáleného hostitele na iliked.org pomocí portu 80. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA1f0711c3d8a16974334e851fa267eed90b209873a .
Žádné komentáře:
Okomentovat