Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Feb 08, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Feb 08, 2011 Aliasy
-
Boxed.ANK (AVG)
- TR/Dldr.Regonid.A (Avira)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.97.596.0 Vydáno: 28.ledna 2011 |
Shrnutí
TrojanDownloader:Win32/Regonid.A je trojan, který se snaží stahovat libovolné soubory ze vzdáleného serveru.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
- Ve většině případů může být varovná oznámení nebo zjištění tohoto malwaru z nainstalovaného antiviru nebo bezpečnostního softwaru je jen další příznaky.
<system folder> \ c_8477.nls
<system folder> \ rrexec.exe
Technické informace (analýza)
TrojanDownloader:Win32/Regonid.A je trojan, který se snaží stahovat libovolné soubory ze vzdáleného serveru.
Instalace
TrojanDownloader:Win32/Regonid.A je nainstalován jiným malwarem a může být přítomen ve složce systému Windows, například:
<system folder> \ rrexec.exe
Další složkou, zašifrovaný soubor dat, může být přítomen, například:
<system folder> \ c_8477.nls
Trojan může provádět za pravidelnou úkolu, který jezdí jednou týdně.
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení libovolné soubory
Trojan kontroluje přítomnost hodnoty " RegistrationID "v tomto podklíči:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
Trojan čte související data a dešifruje ji najít šifrovaný datový soubor jako " c_8477.nls ". Trojan pak běží, složení zašifrovaný datový soubor jako parametr, jako v tomto příkladu:
<system folder> \ rrexec.exe <system folder> \ c_8477.nls
Trojan se může pokusit se připojit ke vzdálenému serveru a stahovat libovolné soubory jako v následujících příkladech:
- ethanandowen.com - intereshot.png
- faustotasca.com - shapeimage_links.jpg
- unreality.net - tile.gif
- zambezisystems.com - watermarkf.gif
V době psaní tohoto článku, výše uvedené stránky nebyly k dispozici.
Žádné komentáře:
Okomentovat