Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Oct 27, 2010 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Oct 27, 2010 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.337.0 Vydáno: 21.května 2012 | Detekce původně vytvořeny: Definice: 1.79.1496.0 Vydáno: 09.04.2010 |
Shrnutí
Trojan:Win32/Rimecud.Aje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: c: \ Documents and Settings \ Administrator \ Data aplikací \ ohydy.exe
- Přítomnost těchto úprav registru:
Přidanou hodnotu: "Taskman"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ ohydy.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ ohydy.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Technické informace (analýza)
Trojan:Win32/Rimecud.Aje škodlivý program, který není schopen se šířit sám od sebe. To může provádět celou řadu akcí útočníka výběru na postiženém počítači.
Instalace
Po spuštění Trojan:Win32/Rimecud.Azkopíruje do c: \ documents and settings \ Administrator \ Data aplikací \ ohydy.exe .
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "Taskman"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ ohydy.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ ohydy.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Malware používá kód injekci, aby se bránit odhalení a odstranění. KdyTrojan:Win32/Rimecud.A spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- explorer.exe
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA12fd0085228af699ce884310216a6112543bae995 .
Žádné komentáře:
Okomentovat