Encyklopedický vstup
Aktualizováno: 14.prosince 2011 | Zveřejněno: Nov 02, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 14.prosince 2011 | Zveřejněno: Nov 02, 2011 Aliasy
-
Trojan.Sirefef.K (BitDefender)
- ZeroAccess.b (McAfee)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce původně vytvořeny: Definice: 1.115.1100.0 Vydáno: 02.11.2011 |
Shrnutí
Trojan:Win64/Sirefef.D je 64-bit uživatelského režimu součástí Win32/Sireferrootkit. Je to součást zodpovědný za generování falešné provoz na webu návštěvník započtení služby poskytovány "liveinternet.ru". Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Následující změna registru: V podklíči:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb
Změněno hodnota: "Type"
Data: "1"
Technické informace (analýza)
Trojan:Win64/Sirefef.D je 64-bit uživatelského režimu součástí Win32/Sireferrootkit. Je to součást zodpovědný za generování falešné provoz na webu návštěvník započtení služby poskytovány "liveinternet.ru". Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.
Instalace
Trojan:Win64/Sirefef.D mohou být vytvořeny Win32/Sirefef rootkit montéři, jako Trojan:Win32/Sirefef.J a Backdoor:Win32/Smadow.
Následující složky označené jako "skrytý", mohou být také vytvořeny rootkit instalaci spolu s Trojan:Win64/Sirefef.D:
- %windir%\$NtUninstallKB<decimal číslo>
- %APPDATA%\<hexadecimal string>
Trojan:Win64/Sirefef.D mohou být přítomny jako soubor "counter.dll"V první složky vytvořené výše. Nicméně, pokud se uživatel pokusí získat přístup k těmto složkám, může rootkit ukončit proces přistupuje.
Rootkit montéři mohou také změnit hodnotu registru "Type"Na" 1 "pro následující Windows Služba podklíč, když Trojan:Win64/Sirefef.D je nainstalován:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb
Užitečná
Vytváří falešný provoz na některých webových stránkách
Trojan:Win64/Sirefef.D vytváří falešný návštěvnost na webových stránkách návštěvník započtení služby poskytované "liveinternet.ru"-. Veřejné webové stránky hodnocení služby dotaz směřuje na server"counter.yadro.ru"S následujícím GET požádat každých 900 sekund:
GET /hit?t52.6;rhttp://0;s320*200*32;u/0;0.<value na základě současného time> HTTP/1.1
Referer: <website je promoted>0
User-Agent: Opera/6 (Windows NT 5.00; U)
Referer: <website je promoted>0
User-Agent: Opera/6 (Windows NT 5.00; U)
, kde je <website promoted> je web, který generuje falešné provoz pro.
Žádné komentáře:
Okomentovat