středa 9. května 2012

Trojan:Win32/Cleaman.D


Shrnutí

Trojan:Win32/Cleaman.Dje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:
    • c: \ documents and settings \ Administrator \ Data aplikací \ cleanhelper.dll 
    c: \ documents and settings \ Administrator \ Data aplikací \ cleanhelper.exe 
    c: \ documents and settings \ Administrator \ Local Settings \ Temp \ 7.tmp 
    c: \ documents and settings \ Administrator \ Local Settings \ Temp \ 8.tmp 
    c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ a.tmp 


Top

 

Technické informace (analýza)

Trojan:Win32/Cleaman.Dje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Instalace
Trojan:Win32/Cleaman.D vytvoří následující soubory na postiženém počítači:

  • c: \ documents and settings \ Administrator \ Data aplikací \ cleanhelper.dll
  • c: \ documents and settings \ Administrator \ Data aplikací \ cleanhelper.exe
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 7.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ 8.tmp
  • c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ a.tmp
Užitečná
Upravuje souboru Hosts
Trojan:Win32/Cleaman.Dupraví Windows Hosts soubor. Místního souboru Hosts přednost řešení DNS na adresu URL webové stránky na konkrétní IP adresu. Škodlivý software může provést změny v souboru Hosts, aby přesměrování adresy URL zadané do různých IP adres. Malware se často mění v postiženém počítači soubor Hosts, aby se zamezilo uživatelům v přístupu na webové stránky spojené s konkrétními týkající se bezpečnosti aplikace (jako jsou antivirové programy například).

V době publikace, jsme zaznamenali:

Následující hostitelské rostliny:Přesměrováni na:
  • search.yahoo.com
  • www.bing.com
  • www.google.com
  • 184.95.59.213
  • 184.95.59.214

Kontakty vzdálený hostitel
Malware může obrátit na vzdáleného hostitele na 184.95.59.196 pomocí portu 80. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
  • Chcete-li nahlásit nové infekce autora
  • Chcete-li přijímat konfigurační nebo jiné údaje,
  • Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
  • Chcete-li přijímat pokyny od vzdáleného útočníka
  • Chcete-li odeslat údaje přebírané z postiženého počítače

Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA1b8853596cef4e0417cc31af5768c3f609f348092 .
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)