Shrnutí
Trojan:Win32/Opachki.Hje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
- Přítomnost těchto úprav registru:
c: \ Documents and Settings \ Administrator \ uidsave.dat
c: \ documents and settings \ Administrator \ winlogon.exe
Přidanou hodnotu: "Userinit"
s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Přidanou hodnotu: "crrss"
s údaji: "c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Technické informace (analýza)
Trojan:Win32/Opachki.Hje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Instalace
Po spuštění Trojan:Win32/Opachki.H zkopíruje na následujících místech:
- < System > \ crrss.exe
- c: \ Documents and Settings \ Administrator \ winlogon.exe
Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "crrss"
s údaji: "c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Userinit"
s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
s údaji: "c: \ windows \ system32 \ Userinit.exe, c: \ windows \ system32 \ crrss.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Malware vytvoří následující soubory na postiženém počítači:
- c: \ Documents and Settings \ Administrator \ uidsave.dat
Užitečná
Kontakty vzdáleným strojům
Trojan:Win32/Opachki.H se může obrátit na tyto vzdálené počítače pomocí portu 8080:
Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- glsbid.com
- porngaz.com
Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Pro potvrzení připojení k Internetu
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA1f3566c720f8d586f53be8d7e6b27936f7c051ee6 .
Žádné komentáře:
Okomentovat