Encyklopedický vstup
Aktualizováno: 09.05.2011 | Zveřejněno: Feb 09, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 09.05.2011 | Zveřejněno: Feb 09, 2011 Aliasy
-
Dropper/Malware.104448.BI (AhnLab)
- W32/MalwareF.XUGG (Command)
- W32/Crypt.AUQM (Norman)
- Trojan.Kryptik!qe91GsXtiqs (VirusBuster)
- Trojan horse Dropper.Generic3.QPG (other)
- TR/Extats.A.8 (Avira)
- Trojan.Generic.KDV.127916 (BitDefender)
- Win32/Tnega.WCI (CA)
- Trojan.DownLoader2.2932 (Dr.Web)
- Backdoor.Win32.CVVStealer (Ikarus)
- Trojan-Dropper.Win32.Pakes.dh (Kaspersky)
- PWS-Zbot.gen.cy (McAfee)
- TSPY_ZBOT.SMHA (Trend Micro)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.97.1334.0 Vydáno: Feb 09, 2011 |
Shrnutí
Trojan:Win32/Nedsym.Gje trojan, který distribuuje spam e-mailových zpráv. Je také shromažďuje informace o postiženého počítače a pošle ho zpátky do jeho velení a řízení (C & C) serveru.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto úprav registru: V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Nastaví hodnotu: " Microsoft Firewall 2.9" Vzhledem k objemu dat: " % USERPROFILE% \ Application Data \ FW < náhodné devět číslice >. exe / s "
Technické informace (analýza)
Trojan:Win32/Nedsym.Gje trojan, který distribuuje spam e-mailových zpráv. Je také shromažďuje informace o postiženého počítače a pošle ho zpátky do jeho velení a řízení (C & C) serveru.
Instalace
Po spuštění trojan kapky kopii sebe sama v této složce:
- % USERPROFILE% \ Application Data \ FW < náhodné devět číslice >. exe
Trojan:Win32/Nedsym.G modifikuje následující položky registru tak, aby jeho kopie provádí při každém startu Windows:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Nastaví hodnotu: " Microsoft Firewall 2.9 "
Vzhledem k objemu dat: " % USERPROFILE% \ Application Data \ FW < náhodné devět číslic > exe / s. "
Nastaví hodnotu: " Microsoft Firewall 2.9 "
Vzhledem k objemu dat: " % USERPROFILE% \ Application Data \ FW < náhodné devět číslic > exe / s. "
Poznámka:% USERPROFILE % se vztahuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Documents and Settings \ < uživatel > nebo C: \ Users \ < uživatelské > a pro XP, Vista a 7 je C: \ Users \ < uživatelské Název >.
Trojan:Win32/Nedsym.Gvytváří mutex " MSCTF.Shared.MUTEX.LDR "s cílem ověřit, zda další kopie Trojan běží na příslušném počítači.
Trojan klesá a nahrál dvě DLL komponenty, které nahradí soubor Desktop.ini a vytváří NTUSER.DAT v následující složce:
- % USERPROFILE% \ Application Data \
Součástí souboru Desktop.ini , je používán pro šifrování komunikace s C & C serveru, zatímco NTUSER.DAT se používá pro kompresi informací zasílaných C & C server. Trojan také vytváří následující položky registru za účelem zjištění totožnosti postižený počítač:
V podklíč: HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ LowRegistry
Nastaví hodnotu: " SavedLegacySettingsML "
Vzhledem k objemu dat: <generated uživatel ID>
Nastaví hodnotu: " SavedLegacySettingsML "
Vzhledem k objemu dat: <generated uživatel ID>
Užitečná
Krade citlivé informace
Trojan:Win32/Nedsym.Gtaké shromažďuje uživatelské jméno a heslo pověření z navštívených webových stránek, a ty uložili v prohlížeči. Načte tyto informace z následujícího klíče registru:
- HKCU \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2
Trojan byl pozorován krade uživatelská jména a hesla ze zadaných aplikací, například:
- Internet Explorer
- Mozilla Firefox
- The Bat! e-mailové aplikace
Kontakty vzdáleným strojům a distribuuje spam
Trojan:Win32/Nedsym.G načte konfigurační údaje o svých nevyžádaných informací, šablon a SMTP servery, z jeho C & C serverem.
Generuje náhodný název domény na základě data a času. To připojí v návaznosti na název domény s cílem posílat a přístup k informacím a aby z jeho C & C serverem.
- / Stat1.php
- / Stat2.php
- / Logacc.php
- / Error.php?
- / U.php?
- / Smtps.php
Žádné komentáře:
Okomentovat