Encyklopedický vstup
Aktualizováno: 11.05.2011 | Zveřejněno: 11. května 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 11.05.2011 | Zveřejněno: 11. května 2011 Aliasy
-
Trojan-Spy.Win32.Zbot.bipv (Kaspersky)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.103.1297.0 Vydáno: 09.05.2011 |
Shrnutí
TrojanSpy:Win32/Ranbyus.G je trojan, který sbírá citlivé informace pro útočníka.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: < System > \ dllhosl.exe
- Přítomnost těchto úprav registru:
Přidanou hodnotu: "záchrany systému"
s údaji: "c: \ windows \ system32 \ dllhosl.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
s údaji: "c: \ windows \ system32 \ dllhosl.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Technické informace (analýza)
TrojanSpy:Win32/Ranbyus.G je trojan, který sbírá citlivé informace pro útočníka.
Instalace
Po spuštění TrojanSpy:Win32/Ranbyus.Gzkopíruje do méně než systémové složky > \ dllhosl.exe .
Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "záchrany systému"
s údaji: "c: \ windows \ system32 \ dllhosl.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
s údaji: "c: \ windows \ system32 \ dllhosl.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyTrojanSpy:Win32/Ranbyus.G spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- svchost.exe
Užitečná
Kontakty vzdálený hostitel
TrojanSpy:Win32/Ranbyus.G mohou obrátit na vzdáleného hostitele na buhgalter1.in pomocí portu 80. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA1944208571c73f7140735dba422e67fa1b917ec38 .
Žádné komentáře:
Okomentovat