Encyklopedický vstup
Aktualizováno: 27.dubna 2012 | Zveřejněno: Mar 22, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 27.dubna 2012 | Zveřejněno: Mar 22, 2012 Aliasy
-
TR/Medfos.A.213 (Avira)
- Trojan.Win32.Midhos.cn (Kaspersky)
- Generic Downloader.nb (McAfee)
- Mal/EncPk-ZC (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.123.132.0 Vydáno: 22.března 2012 |
Shrnutí
Trojan:Win32/Medfos.A je trojan, který se snaží stahovat libovolné soubory z webových stránek, jako například "greatfilehosting.com"A"midifilehosting.com".
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
Trojan:Win32/Medfos.A je trojan, který se snaží stahovat libovolné soubory z webových stránek, jako například "greatfilehosting.com"A"midifilehosting.com".
Instalace
Tento trojský kůň může mít soubor vlastností, které zastírat to jako legitimní souboru programu z "Sun Microsystems, Inc"Nebo"Creative Technology LtdNí ". Trojan:Win32/Medfos.A spustí, to klesne kopie trojan jako náhodně názvem souboru, jako v následujících příkladech:
- %TEMP%\dshchl.dll
- %TEMP%\vcken.dll
- %TEMP%\hlobt.dll
Registr je upraven tak, aby spuštění trojského soubor při každé Windows start.
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: " <hodnota> "
k datům: "rundll32.exe<cesta a název souboru malware>, <character string> "
Nastaví hodnotu: " <hodnota> "
k datům: "rundll32.exe<cesta a název souboru malware>, <character string> "
Níže jsou uvedeny příklady z registru dat modifikace:
Nastaví hodnotu: "vcken"
Chcete-li data: "rundll32.exe "c:\documents and settings\administrator\local settings\temp\vcken.dll",loadbitmapresize"
Chcete-li data: "rundll32.exe "c:\documents and settings\administrator\local settings\temp\vcken.dll",loadbitmapresize"
Nastaví hodnotu: "dshchl"
Chcete-li data: "rundll32.exe "c:\documents and settings\administrator\local settings\temp\dshchl.dll",createvolumetexturefromfileexa"
Chcete-li data: "rundll32.exe "c:\documents and settings\administrator\local settings\temp\dshchl.dll",createvolumetexturefromfileexa"
Nastaví hodnotu: "hlobt"
Chcete-li data: "rundll32.exe "c:\docume~1\admini~1\locals~1\temp\hlobt.dll",quaternionsquadsetup"
Chcete-li data: "rundll32.exe "c:\docume~1\admini~1\locals~1\temp\hlobt.dll",quaternionsquadsetup"
Užitečná
Komunikuje se vzdáleným hostitelem
Trojan:Win32/Medfos.A připojí k různým vzdáleným serverům pomocí protokolu HTTP (port 80) a pokouší se stáhnout libovolné soubory. Trojan byl pozorován kontaktovat domény s následujícími příponami:
- greatfilehosting.com
- midifilehosting.com
- filehostingdirect.net
V době psaní tohoto článku, stránky jsou k dispozici pro analýzu.
Žádné komentáře:
Okomentovat