Shrnutí
TrojanDownloader:Win32/Renos.FJje trojan, který se připojí na některých webových stránek stahovat další malware. To může zahrnovat dalšíTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan slovy: Win32/FakeSecSen nebo Trojan slovy: Win32/FakeXPA .
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost následující soubor:
% windir% \ lsass.exe Všimněte si, že legitimní soubor systému Windows také jmenoval lsass.exe existuje ve výchozím nastavení <system folder>, který odkazuje na variabilní umístění, které je dáno malware dotazem provozní systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP a Vista je C: \ Windows \ System32 .. - Přítomnost těchto registru změnami:
přínos: "LSASS"
Vzhledem k objemu dat: "% windir% \ Lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Technické informace (analýza)
TrojanDownloader:Win32/Renos.FJje trojan, který se připojí na některých webových stránek stahovat další malware. To může zahrnovat dalšíTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan slovy: Win32/FakeSecSen nebo Trojan slovy: Win32/FakeXPA .
Instalace
Po spuštění TrojanDownloader:Win32/Renos.FJkopíruje sebe jako %% windir \ Lsass.exe . Všimněte si, že legitimní Windows soubor s názvem lsass.exeexistuje ve výchozím nastavení ve složce systému Windows.
TrojanDownloader:Win32/Renos.FJ modifikuje systémového registru, takže to běží při každém startu Windows:
Přidanou hodnotu: "Lsass"
s údaji: "% windir% \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "% windir% \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Užitečná
Ke stažení a provede libovolný malware
TrojanDownloader:Win32/Renos.FJse mohou připojit k určité webové stránky, z nichž lze stáhnout a spustit další malwware, jako druhéTrojanDownloader slovy: Win32/Renos komponenty a nepoctiví antivirový software jako je Trojan: Vlastní Win32/FakeSecSen nebo Trojan: Vlastní Win32/FakeXPA .
Některé z lokalit je známo, že připojení, jsou tato:
- greatinstant.cn
- settopworld.cn
Žádné komentáře:
Okomentovat