Encyklopedický vstup
Aktualizováno: 04.10.2011 | Zveřejněno: Září 13, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 04.10.2011 | Zveřejněno: Září 13, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.285.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.111.2117.0 Vydáno: 13.září 2011 |
Shrnutí
TrojanDownloader:Win32/Cbeplay.P je trojan, který kontaktů vzdáleného hostitele, aby se stáhnout a spustit libovolný soubor a odeslat informace o infikovaného počítače. To může také zakázat nastavení zabezpečení.
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
TrojanDownloader:Win32/Cbeplay.P je trojan, který kontaktů vzdáleného hostitele, aby se stáhnout a spustit libovolný soubor a odeslat informace o infikovaného počítače. To může také zakázat nastavení zabezpečení.
Instalace
Tento trojský kůň může být distribuován prostřednictvím nevyžádaných e-mailů, a to buď přímo jako chráněný heslem .zippříloha, nebo nepřímo prostřednictvím odkazu na vzdálený kopie Trojana. To může přijít jako přílohu na e-maily obsahující nevyžádané některé z následujících zpráv:
Příklad 1
Od: "DHL MANAGER 692" <<removed>@dhl.com>
Pro: <target_email>
Předmět:DHL id. 3190264
Pro: <target_email>
Předmět:DHL id. 3190264
Tělo:
GOOD DAY!
Dear Consumer , Delivery Confirmation: FAILED
Print out the invoice copy attached and collect the package at our department
With best regards , DHL .com Customer Services
GOOD DAY!
Dear Consumer , Delivery Confirmation: FAILED
Print out the invoice copy attached and collect the package at our department
With best regards , DHL .com Customer Services
Příloha:
DHL_log-X69461.zip
DHL_log-X69461.zip
Příklad 2
Od: <Sender_email>
K: <Recipient_email>
Předmět:Response to my letter, I implore you. I can not do without you.
K: <Recipient_email>
Předmět:Response to my letter, I implore you. I can not do without you.
Tělo:
You are currently registered as: lonelywivesdatingclub <dot> com
- Age: 22
- Neme: Evon
- Seeking: A Male. Group 23-47
- Status: ONLINE
- Service: lonelywivesdatingclub. com 2900 Girls Currently Online
- Fotos: 8 fotos in attached file.
- Title: "Christina's Profile
Well i love going to amusment parks i love puppys and i have no kids but want some i dont smoke or drink i love to party and i USED to dance exotic. "
You are currently registered as: lonelywivesdatingclub <dot> com
- Age: 22
- Neme: Evon
- Seeking: A Male. Group 23-47
- Status: ONLINE
- Service: lonelywivesdatingclub. com 2900 Girls Currently Online
- Fotos: 8 fotos in attached file.
- Title: "Christina's Profile
Well i love going to amusment parks i love puppys and i have no kids but want some i dont smoke or drink i love to party and i USED to dance exotic. "
Příloha:
PhotoY2442465095.zip
PhotoY2442465095.zip
Příklad 3
Od: "MC MANAGER 57" <manager<removed>@mastercard.com>
Pro: <Recipient_email>
Předmět: Your credit card has been blocked
Pro: <Recipient_email>
Předmět: Your credit card has been blocked
Tělo:
Dear Customer,
Your credit card has been blocked!
With your credit card was removed $ 3718,0
Possibly illegal operation!
More information in the attached file.
Immediately contact your bank .
Best Wishes,
MASTER CARD Services.
Dear Customer,
Your credit card has been blocked!
With your credit card was removed $ 3718,0
Possibly illegal operation!
More information in the attached file.
Immediately contact your bank .
Best Wishes,
MASTER CARD Services.
Příloha: <random filename>.
zip
zip
V rámci své instalace, trojský kůň také vnáší svůj kód do legitimní svchost.exe, aplikován kód poběží (ke stažení rutina), zatímco kód vstřikovače (nastavení rutina) ukončí.
Užitečná
Ke stažení a vykonává libovolné soubory
TrojanDownloader:Win32/Cbeplay.P může připojit ke vzdálenému serveru, aby se stáhnout a spustit další soubory.
Kontakty vzdáleným strojům
Trojan se může obrátit na vzdáleného hostitele na 96.126.105.21 přes HTTP POST s cílem zaslat následující informace o infikovaném počítači:
- Operační systém informace o verzi
- Terminál konfigurace služby
- Zásady omezení softwaru
- Systém a stolní konfigurace
- Síťové domény a názvu počítače
- Internet Explorer Konfigurace
- Seznam tiskových úloh v cílových tiskáren
- Hardwarový profil pro místní počítač
- Zeměpisná poloha uživatele
Umožňuje backdoor přístup a kontrolu
TrojanDownloader:Win32/Cbeplay.P může poslat HTTP POST požadovat na vzdálený server a spouštět na straně serveru PHP skript, který umožňuje vzdálenému útočníkovi plný přístup a kontrolu nad napadeným počítačem.
Ukončí bezpečnostních procesů
V trojské kontroly výskytu bezpečnostního softwaru WIRESHARK.EXE, A je-li nalezen, bude tento proces ukončit.
Žádné komentáře:
Okomentovat