středa 9. května 2012

TrojanDownloader:Win32/Renos.FJ


Shrnutí

TrojanDownloader:Win32/Renos.FJje trojan, který se připojí na některých webových stránek stahovat další malware. To může zahrnovat dalšíTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan slovy: Win32/FakeSecSen nebo Trojan slovy: Win32/FakeXPA .


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost následující soubor:
    % windir% \ lsass.exe Všimněte si, že legitimní soubor systému Windows také jmenoval lsass.exe existuje ve výchozím nastavení <system folder>, který odkazuje na variabilní umístění, které je dáno malware dotazem provozní systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP a Vista je C: \ Windows \ System32 ..

  • Přítomnost těchto registru změnami:
    přínos: "LSASS"
    Vzhledem k objemu dat: "% windir% \ Lsass.exe"
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run


 

Technické informace (analýza)

TrojanDownloader:Win32/Renos.FJje trojan, který se připojí na některých webových stránek stahovat další malware. To může zahrnovat dalšíTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan slovy: Win32/FakeSecSen nebo Trojan slovy: Win32/FakeXPA .
Instalace
Po spuštění TrojanDownloader:Win32/Renos.FJkopíruje sebe jako %% windir \ Lsass.exe . Všimněte si, že legitimní Windows soubor s názvem lsass.exeexistuje ve výchozím nastavení ve složce systému Windows.
 
TrojanDownloader:Win32/Renos.FJ modifikuje systémového registru, takže to běží při každém startu Windows:
 
Přidanou hodnotu: "Lsass"
s údaji: "% windir% \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Užitečná
Ke stažení a provede libovolný malware
TrojanDownloader:Win32/Renos.FJse mohou připojit k určité webové stránky, z nichž lze stáhnout a spustit další malwware, jako druhéTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan: Vlastní Win32/FakeSecSen nebo Trojan: Vlastní Win32/FakeXPA .
 
Některé z lokalit je známo, že připojení, jsou tato:
  • greatinstant.cn
  • settopworld.cn

Žádné komentáře:

Okomentovat