Encyklopedický vstup
Aktualizováno: 05.05.2011 | Zveřejněno: May 04, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 05.05.2011 | Zveřejněno: May 04, 2011 Aliasy
-
Trojan.Win32.VBKrypt.bgkx (Kaspersky)
- W32/PWStealer.B (Norman)
- Trojan.VBKrypt!kM9GugS8lDY (VirusBuster)
- PSW.SpyEye.AO (AVG)
- TR/Crypt.ULPM.Gen (Avira)
- Trojan.Win32.Pincav (Ikarus)
- Trojan.Sasfis (Symantec)
- TROJ_VBKRYPT.CG (Trend Micro)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.95.3838.0 Vydáno: Leden 13, 2011 |
Shrnutí
TrojanSpy:Win32/Delf.CLje binární malware napsaný v Delphi a nabitý vlastní balírny dělat analýzu těžší. To sbírá e-mailové účty s nimi spojených pověření z postiženého počítače a pošle je do vzdáleného útočníka.
Příznaky
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost následující soubor: % AppData% \ svchost.exe
- Přítomnost těchto úprav registru:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
nastaví hodnotu: " Svchost "
Vzhledem k objemu dat: " % AppData% \ svchost.exe " V podklíč: HKCU \ Software \ UPD Nastaví hodnotu : " CHK " Vzhledem k objemu dat: "d41d8cd98f00b204e9800998ecf8427e "
Technické informace (analýza)
TrojanSpy:Win32/Delf.CLje binární malware napsaný v Delphi a nabitý vlastní balírny dělat analýzu těžší. To sbírá e-mailové účty s nimi spojených pověření z postiženého počítače a pošle je do vzdáleného útočníka.
Instalace
TrojanSpy:Win32/Delf.CL je přítomen v počítači jako následující soubor:
- % AppData% \ svchost.exe
Všimněte si, že legitimní soubor systému Windows také jmenoval " svchost.exe "existuje ve výchozím nastavení ve složce systému Windows.
Aby bylo zajištěno, že se automaticky spustí při každém startu Windows, vytvoří následující položku registru:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
nastaví hodnotu: " Svchost "
S údaji: " % AppData% \ svchost.exe "
nastaví hodnotu: " Svchost "
S údaji: " % AppData% \ svchost.exe "
To také vytvoří následující položku registru jako součást své instalace rutiny:
V podklíč: HKCU \ Software \ UPD
Nastaví hodnotu: " CHK "
Vzhledem k objemu dat: " d41d8cd98f00b204e9800998ecf8427e "
Nastaví hodnotu: " CHK "
Vzhledem k objemu dat: " d41d8cd98f00b204e9800998ecf8427e "
Užitečná
Pokusy o krádež e-mailových účtů
TrojanSpy:Win32/Delf.CL shromažďuje e-mailový účet přihlašovací údaje, jako je následující:
TrojanSpy:Win32/Delf.CL shromažďuje e-mailový účet přihlašovací údaje, jako je následující:
- Adresa serveru
- Typ připojení
- Uživatelské jméno
- Heslo
z těchto aplikací:
- Becky Internet Mail
- Eudora
- Forte Agent
- Gmail Notifier
- Skupina mail
- Incredimail
- Mail.Ru agenta
- Mail Commander
- Microsoft Outlook
- Opera
- PocoMail 3
- PocoMail 4
- Pop Peeper
- Safari
- Písař
- The Bat!
- Thunderbird
- Vypress Auvis
- Windows Live Mail
- Windows Mail
Poté se pokusí připojit k serveru " epatage-group.kiev.ua "možná posílat své ukradené údaje.
Žádné komentáře:
Okomentovat