sobota 19. května 2012

TrojanDownloader:Win32/Regonid.A


Encyklopedický vstup
Aktualizováno: 17.dubna 2011  |  Zveřejněno: Feb 08, 2011 Aliasy


  • Boxed.ANK (AVG)
  • TR/Dldr.Regonid.A (Avira)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.273.0
Vydáno: 19.května 2012
Detekce původně vytvořeny:
Definice: 1.97.596.0
Vydáno: 28.ledna 2011


Na této stránce



 

Shrnutí

TrojanDownloader:Win32/Regonid.A je trojan, který se snaží stahovat libovolné soubory ze vzdáleného serveru.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:
  • <system folder> \ c_8477.nls
    <system folder> \ rrexec.exe
  • Ve většině případů může být varovná oznámení nebo zjištění tohoto malwaru z nainstalovaného antiviru nebo bezpečnostního softwaru je jen další příznaky.


 

Technické informace (analýza)

TrojanDownloader:Win32/Regonid.A je trojan, který se snaží stahovat libovolné soubory ze vzdáleného serveru.
Instalace
TrojanDownloader:Win32/Regonid.A je nainstalován jiným malwarem a může být přítomen ve složce systému Windows, například:
 
<system folder> \ rrexec.exe
 
Další složkou, zašifrovaný soubor dat, může být přítomen, například:
 
<system folder> \ c_8477.nls
 
Trojan může provádět za pravidelnou úkolu, který jezdí jednou týdně.
 
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení libovolné soubory
Trojan kontroluje přítomnost hodnoty " RegistrationID "v tomto podklíči: 
 
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
 
Trojan čte související data a dešifruje ji najít šifrovaný datový soubor jako " c_8477.nls ". Trojan pak běží, složení zašifrovaný datový soubor jako parametr, jako v tomto příkladu:
 
<system folder> \ rrexec.exe  <system folder> \ c_8477.nls
 
Trojan se může pokusit se připojit ke vzdálenému serveru a stahovat libovolné soubory jako v následujících příkladech:
 
  • ethanandowen.com - intereshot.png
  • faustotasca.com - shapeimage_links.jpg
  • unreality.net - tile.gif
  • zambezisystems.com - watermarkf.gif
 
V době psaní tohoto článku, výše uvedené stránky nebyly k dispozici.

Žádné komentáře:

Okomentovat