Encyklopedický vstup
Aktualizováno: 12.08.2011 | Zveřejněno: Jul 19, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 12.08.2011 | Zveřejněno: Jul 19, 2011 Aliasy
-
Trojan.Mayachok.1 (Dr.Web)
- Trojan.Win32.Mondere (Ikarus)
- Trojan.Win32.Cidox.ca (Kaspersky)
- Troj/Virtum-Gen (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.107.1837.0 Vydáno: 15.července 2011 |
Shrnutí
Trojan:Win32/Vundo.OD je trojan, který je členem vícesložkové trojan rodiny programů, které poskytují "z kontextu 'pop-up reklamy. To také klesá soubory, které jsou schopny stahovat další malware a spustí libovolný soubor.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
%Temp%\FLASH_PLAYER_UPDATE.EXE
Technické informace (analýza)
Trojan:Win32/Vundo.OD je trojan, který je členem vícesložkové trojan rodiny programů, které poskytují "z kontextu 'pop-up reklamy. To také klesá soubory, které jsou schopny stahovat další malware a spustí libovolný soubor.
Instalace
Trojan:Win32/Vundo.OD klesá DLLsložka ve složce systému Windows s náhodným souboru založeného na název System Volume. ToDLL komponenta je detekován jako TrojanDownloader:Win32/Vundo.HIY.
Pokud Trojan nesmí klesnout DLL složka kvůli výsada otázky, místo toho upustí a provede kopii sebe sama jako "FLASH_PLAYER_UPDATE.EXE"V systému Windows dočasných souborů složky s oprávněním správce.
Aby bylo zajištěno, že se automaticky spustí při každém startu Windows, vytvoří následující položky registru:
V podklíč: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
Nastaví hodnotu: "AppInit_DLLs"
Vzhledem k objemu dat: "<system folder> \ <kleslDLL Soubor> "
Nastaví hodnotu: "AppInit_DLLs"
Vzhledem k objemu dat: "<system folder> \ <kleslDLL Soubor> "
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
V podklíč: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
Nastaví hodnotu: "LoadAppInit_DLLs"
Vzhledem k objemu dat: " 1 "
Nastaví hodnotu: "LoadAppInit_DLLs"
Vzhledem k objemu dat: " 1 "
Klesne komponentní soubor, také rozpoznán jako TrojanDownloader:Win32/Vundo.OD, Jak ukazuje následující:
- <startup folder> \microsoft update.exe
Poznámka: <startup folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro složky Po spuštění proWindows 9x, Me, NT, 2000, XP a 2003 Je "%USERPROFILE%\ Nabídka Start \ Programy \ Po spuštění ". ProWindows Vista a 7, Je výchozí umístění "%USERPROFILE%\ AppData \ Roaming \ Microsoft \ Windows \ Nabídka Start \ Programy \ Po spuštění ".
Užitečná
Odstraní soubory a složky
TrojanDownloader:Win32/Vundo.OD odstraní soubory a podsložky, které v těchto složkách:
- %HOMEPATH%\Cookies
- %Temp%
Obnoví Soubor Hosts
Trojan:Win32/Vundo.OD nahrazuje Hosts soubor s výchozím nastavením, takže jakékoliv úpravy na základě nastavení systému jsou pak odstraněny.
Vynutí restartování počítače
Trojan:Win32/Vundo.OD nutí restartování počítače, aby výkon svých klesl DLL složkou.
Žádné komentáře:
Okomentovat