Bezpečné PC: Trojan:Win32/Nedsym.G

sobota 19. května 2012

Trojan:Win32/Nedsym.G

Encyklopedický vstup
Aktualizováno: 09.05.2011 | Zveřejněno: Feb 09, 2011 Aliasy

Dropper/Malware.104448.BI

AhnLab

W32/MalwareF.XUGG (Command)
W32/Crypt.AUQM (Norman)
Trojan.Kryptik!qe91GsXtiqs (VirusBuster)
Trojan horse Dropper.Generic3.QPG (other)
TR/Extats.A.8 (Avira)
Trojan.Generic.KDV.127916 (BitDefender)
Win32/Tnega.WCI (CA)
Trojan.DownLoader2.2932 (Dr.Web)
Backdoor.Win32.CVVStealer (Ikarus)
Trojan-Dropper.Win32.Pakes.dh (Kaspersky)
PWS-Zbot.gen.cy (McAfee)
TSPY_ZBOT.SMHA (Trend Micro)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.127.273.0
Vydáno: 19.května 2012

Detekce původně vytvořeny:
Definice: 1.97.1334.0
Vydáno: Feb 09, 2011

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

Trojan:Win32/Nedsym.Gje trojan, který distribuuje spam e-mailových zpráv. Je také shromažďuje informace o postiženého počítače a pošle ho zpátky do jeho velení a řízení (C & C) serveru.

Top

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

Přítomnost těchto úprav registru: V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run Nastaví hodnotu: " Microsoft Firewall 2.9" Vzhledem k objemu dat: " % USERPROFILE% \ Application Data \ FW < náhodné devět číslice >. exe / s "

Top

Technické informace (analýza)

Instalace

Po spuštění trojan kapky kopii sebe sama v této složce:

% USERPROFILE% \ Application Data \ FW < náhodné devět číslice >. exe

Trojan:Win32/Nedsym.G modifikuje následující položky registru tak, aby jeho kopie provádí při každém startu Windows:

V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Nastaví hodnotu: " Microsoft Firewall 2.9 "
Vzhledem k objemu dat: " % USERPROFILE% \ Application Data \ FW < náhodné devět číslic > exe / s. "

Poznámka:% USERPROFILE % se vztahuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Documents and Settings \ < uživatel > nebo C: \ Users \ < uživatelské > a pro XP, Vista a 7 je C: \ Users \ < uživatelské Název >.

Trojan:Win32/Nedsym.Gvytváří mutex " MSCTF.Shared.MUTEX.LDR "s cílem ověřit, zda další kopie Trojan běží na příslušném počítači.

Trojan klesá a nahrál dvě DLL komponenty, které nahradí soubor Desktop.ini a vytváří NTUSER.DAT v následující složce:

% USERPROFILE% \ Application Data \

Součástí souboru Desktop.ini , je používán pro šifrování komunikace s C & C serveru, zatímco NTUSER.DAT se používá pro kompresi informací zasílaných C & C server. Trojan také vytváří následující položky registru za účelem zjištění totožnosti postižený počítač:

V podklíč: HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ LowRegistry
Nastaví hodnotu: " SavedLegacySettingsML "
Vzhledem k objemu dat: <generated uživatel ID>

Užitečná

Krade citlivé informace

Trojan:Win32/Nedsym.Gtaké shromažďuje uživatelské jméno a heslo pověření z navštívených webových stránek, a ty uložili v prohlížeči. Načte tyto informace z následujícího klíče registru:

HKCU \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2

Trojan byl pozorován krade uživatelská jména a hesla ze zadaných aplikací, například:

Internet Explorer
Mozilla Firefox
The Bat! e-mailové aplikace

Kontakty vzdáleným strojům a distribuuje spam

Trojan:Win32/Nedsym.G načte konfigurační údaje o svých nevyžádaných informací, šablon a SMTP servery, z jeho C & C serverem.

Generuje náhodný název domény na základě data a času. To připojí v návaznosti na název domény s cílem posílat a přístup k informacím a aby z jeho C & C serverem.

/ Stat1.php
/ Stat2.php
/ Logacc.php
/ Error.php?
/ U.php?
/ Smtps.php

Bezpečné PC