středa 9. května 2012

Trojan:Win32/Opachki.H


Shrnutí

Trojan:Win32/Opachki.Hje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:
    • System > \ crrss.exe 
    c: \ Documents and Settings \ Administrator \ uidsave.dat 
    c: \ documents and settings \ Administrator \ winlogon.exe 

  • Přítomnost těchto úprav registru:
    • Přidanou hodnotu: "Userinit"
    s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

    Přidanou hodnotu: "crrss"
    s údaji: "c: \ windows \ system32 \ crrss.exe"
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

    Přidává hodnotu: "Winlogon"
    Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
    Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run


Top

 

Technické informace (analýza)

Trojan:Win32/Opachki.Hje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Instalace
Po spuštění Trojan:Win32/Opachki.H zkopíruje na následujících místech:

  • System > \ crrss.exe
  • c: \ Documents and Settings \ Administrator \ winlogon.exe

Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.

Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "crrss"
s údaji: "c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Přidává hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Přidanou hodnotu: "Userinit"
s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Malware vytvoří následující soubory na postiženém počítači:

  • c: \ Documents and Settings \ Administrator \ uidsave.dat
Užitečná
Kontakty vzdáleným strojům
Trojan:Win32/Opachki.H se může obrátit na tyto vzdálené počítače pomocí portu 8080:

  • glsbid.com
  • porngaz.com

Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
  • Pro potvrzení připojení k Internetu
  • Chcete-li nahlásit nové infekce autora
  • Chcete-li přijímat konfigurační nebo jiné údaje,
  • Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
  • Chcete-li přijímat pokyny od vzdáleného útočníka
  • Chcete-li odeslat údaje přebírané z postiženého počítače

Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA1f3566c720f8d586f53be8d7e6b27936f7c051ee6 .
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)