Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Nov 10, 2008 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Nov 10, 2008 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
TrojanSpy:Win32/Ursnif je Microsoft detekce trojan, který se snaží ukrást citlivá data, sledovat provoz v síti a stahovat další malware.TrojanSpy:Win32/Ursnif pokusí odeslat shromážděná data na vzdálený server a zakáže několik služeb, jako je například systém fi-
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost následující soubor:
% windir% \ 9129837.exe - Přítomnost těchto úprav registru:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
ttool = "% windir% \ 9129837.exe"
Technické informace (analýza)
TrojanSpy:Win32/Ursnif je Microsoft detekce trojan, který se snaží ukrást citlivá data, sledovat provoz v síti a stahovat další malware.TrojanSpy:Win32/Ursnif pokusí odeslat shromážděná data na vzdálený server a zakáže několik služeb, jako je například systém fi-
Instalace
TrojanSpy:Win32/Ursnifmohou být maskované jako Adobe Flash aktualizaci a tím nechtěně instalaci uživatelem. Je známo, že je soubor stažen přes odkaz v e-politicky laděný, který je v současné době v oběhu.
Po spuštění může klesne následující soubory:
- % Windir% \ 9129837.exe - kopie sebe sama
- <aktuální folder> \ abcdefg.bat - dávkový soubor slouží k odstranění aktuálně běží jeho kopii
Tento trojský kůň upravuje systémový registr, aby bylo zajištěno, že běží při každém startu Windows. Přidává hodnotu: "ttool" Vzhledem k objemu dat: "% windir% \ 9129837.exe" Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run trojan ukládá konfigurační údaje v následující klíč registru: HKCU \ Software \ Microsoft \ InetData
TrojanSpy:Win32/Ursnif může aplikovat svůj kód do běžících procesů.
Užitečná
Zakáže službyTrojanSpy:Win32/Ursnif zakáže tyto služby a procesy:
- Centrum zabezpečení
- Brána firewall systému Windows / Internet Connection Firewall
Kapky ovladače zařízení
TrojanSpy:Win32/Ursnif upustí následující soubor, který je ovladač zařízení:
% Windir% \ new_drv.sys - také rozpoznán jako TrojanSpy:Win32/Ursnif
Informace krade
Informace krade
Tento trojský kůň byl pozorován sledovat FTP, POP3, IMAP a ICQ provoz. Shromažďuje hesla uložená v aplikaci Internet Explorer. připojení na IP adresy
Tento trojan se připojí k následující podstránky z konkrétní IP adresy, které se liší vzorek od vzorku, údajně poslat zpět své sebrané údaje:
/cgi-bin/options.cgi
/cgi-bin/forms.cgi
/cgi-bin/cert.cgi
/cgi-bin/pstore.cgi
/cgi-bin/ss.cgi
/cgi-bin/keylog.cgi
/cgi-bin/file.cgi
/cgi-bin/mail.cgi
/cgi-bin/cmd.cgi
/cgi-bin/forms.cgi
/cgi-bin/forms.cgi
/cgi-bin/cert.cgi
/cgi-bin/pstore.cgi
/cgi-bin/ss.cgi
/cgi-bin/keylog.cgi
/cgi-bin/file.cgi
/cgi-bin/mail.cgi
/cgi-bin/cmd.cgi
/cgi-bin/forms.cgi
Žádné komentáře:
Okomentovat