středa 23. května 2012

TrojanDownloader:Win32/Obvod.K


Encyklopedie vstup
Aktualizováno: 18.dubna 2012  |  Publikováno: březen 29, 2012 Aliasy


  • Trojan-Clicker.Win32.Cycler.alkj (Kaspersky)
  • Trojan.CryptRedol.Gen.3 (BitDefender)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.470.0
Vydáno: 23.května 2012
Detekce původně vytvořeny:
Definice: 1.123.636.0
Vydáno: 29.března 2012


Na této stránce



 

Shrnutí

TrojanDownloader:Win32/Obvod.K je trojan, který komunikuje se vzdáleným serverem pro příjem dat, která ríká, že k návštěvě jiné webové stránky.Trojan může také spustit webový prohlížeč a zobrazí mimo kontext reklamy na příslušném počítači.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:
    • %windir%\tasks\at1.job
    • %windir%\tasks\at2.job
    • a tak dále, až
    • %windir%\tasks\at24.job
  • Přítomnost této úpravy registru:
    V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    Nastaví hodnotu: "2500"
    S údaje: "3"


 

Technické informace (analýza)

TrojanDownloader:Win32/Obvod.K je trojan, který komunikuje se vzdáleným serverem pro příjem dat, která ríká, že k návštěvě jiné webové stránky.Trojan může také spustit webový prohlížeč a zobrazí mimo kontext reklamy na příslušném počítači.
Instalace
Při spuštění, TrojanDownloader:Win32/Obvod.K kapky kopii sebe sama jako následující:
%ALLUSERSPROFILE%\Application Data\<eight náhodné characters>.exe
Například "C:\Documents and Settings\All Users\Application Data\ilu5my34.exe""C:\Documents and Settings\All Users\Application Data\rdn7o5qq.exe", Nebo a"C:\Documents and Settings\All Users\Application Data\vo0qrbyn.exe".
Vytváří 24 pracovních soubory, jeden pro každou hodinu dne, k provedení Trojan jednou za hodinu. Tyto pracovní soubory jsou vyčísleny a uloženy jako následující:
  • %windir%\tasks\at1.job
  • %windir%\tasks\at2.job, a tak dále, dokud
  • %windir%\tasks\at24.job
Užitečná
Upraví nastavení zabezpečení Internetu
Trojan je následující registru úpravy, aby bylo Zakázat ladění skriptů pro aplikaci Internet Explorer:
V podklíč: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Nastaví hodnotu: "DisableScriptDebuggerIE"
S údaje: "yes"
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
Nastaví hodnotu: "2500"
S údaje: "3"
Komunikuje se vzdáleným serverem
TrojanDownloader:Win32/Obvod.K připojuje k určité vzdáleného serveru pro příjem šifrovaných dat, které je uložené v dočasné soubory složky jako náhodně pojmenovaný soubor s .DATpříponu souboru. Šifrovaná data obsahuje seznam webových stránek, které navštěvují nebo seznam souborů ke stažení. Ve volné přírodě vzdálené servery patří následující:
  • 109.230.217.44
  • 188.190.98.22
  • 92.241.163.23
  • cc.hfuidhfd.jp
  • pfif4.hfuidhfd.jp
Zobrazuje reklamy
Tento malware se otevře Internet Explorer a vstřikuje více IFrame tagy do aktuální relace, což v několika Internet Explorer zasedání otevření na webové stránky, které obsahují reklamu.
Analýza podle Hyun Choi

Žádné komentáře:

Okomentovat