středa 23. května 2012

Trojan:Win32/Alureon.EP


Encyklopedický vstup
Aktualizováno: 15.července 2011  |  Zveřejněno: Jan 10, 2011 Aliasy


  • W32/FakeAlert.OF.gen!Eldorado (Command)
  • BackDoor.Tdss.based.8 (Dr.Web)
  • Trojan.Win32.Alureon (Ikarus)
  • DNSChanger.cq.a (McAfee)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.470.0
Vydáno: 23.května 2012
Detekce původně vytvořeny:
Definice: 1.95.3606.0
Vydáno: Leden 10, 2011


Na této stránce



 

Shrnutí

Trojan:Win32/Alureon.EPje součástí Win32/Alureon - rodina pro krádež dat trojských koní.Trojan:Win32/Alureon.EP je detekce pro komponentu, která klesá a načte ovladače komponentu.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů: .% SystemRoot% \ System32 \ Spool \ prtprocs \ \ w32x86 tmp % SystemRoot% \ system32 \ drivers \ 790f.sys

  • Přítomnost těchto úprav registru:
    V podklíč: HKLM \ SYSTEM \ ControlSet001 \ Control \ Print \ Providers \ <random 3-digit číslo>
    Nastaví hodnotu: " Název "
    s údaji: "<system folder> \ spool \ prtprocs \ w32x86 \ <random 3-digit číslo> . tmp "
    V podklíč: HKLM \ SYSTEM \ ControlSet001 \ Services \ <random 5-digit číslo> 
    Nastaví hodnotu: " ImagePath " 
    Vzhledem k objemu dat: "<system folder> \ ovladače . \ <random 5-digit číslo> tmp "


 

Technické informace (analýza)

Trojan:Win32/Alureon.EPje součástí Win32/Alureon - rodina pro krádež dat trojských koní.Trojan:Win32/Alureon.EP je detekce pro komponentu, která klesá a načte ovladače komponentu.
Instalace
Trojan:Win32/Alureon.EP upustí následující soubor, který je také detekován jako Trojan:Win32/Alureon.EP:
  • % SystemRoot% \ System32 \ Spool \ prtprocs \ w32x86 \. Tmp
To může vytvořit následující položky registru jako součást svého instalačního procesu:
V podklíč: HKLM \ SYSTEM \ ControlSet001 \ Control \ Print \ Providers \ <random 3-digit číslo>
Nastaví hodnotu: " Název "
s údaji: "<system folder> \ spool \ prtprocs \ w32x86 \ <random 3-digit číslo> . tmp "
V podklíč: HKLM \ SYSTEM \ ControlSet001 \ Services \ <random 5-digit číslo>
Nastaví hodnotu: " ImagePath "
Vzhledem k objemu dat: "<system folder> \ ovladače . \ <random 5-digit číslo> tmp "
To odstraní jeho původně běžící kopii, když se počítač restartuje.
Užitečná
Instaluje další škodlivý software
Trojan:Win32/Alureon.EPnazývá " AddPrintProvidor funkce načte svou spadl soubor do " Spoolsv.exe "procesu. V" Spoolsv.exe"proces,Trojan:Win32/Alureon.EPupustí ovladač zařízení pod " % SystemRoot% \ system32 \ drivers ", např.:
Trojan:Win32/Alureon.EP pak načte ovladač okamžitě.

Žádné komentáře:

Okomentovat