Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 24, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 24, 2010 Aliasy
-
TROJ_GEN.UAE171Y (Trend Micro)
- Trojan.Win32.Swisyn.aedl (Kaspersky)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.95.1867.0 Vydáno: 15.prosince 2010 |
Shrnutí
Worm:Win32/Ainslot.Aje červ - self-množit program, který může šířit sám sebe z jednoho počítače do druhého. Červi mohou šířit se prostřednictvím mnoha různých kanálů s cílem ohrozit nových počítačů. Obyčejně může červi šíří přímo kopírování se na vyměnitelné nebo síťové disky, nebo pokusem o využití konkrétní chyby na cílových počítačích. Červi často pokoušejí šířit prostřednictvím platformy, které vyžadují interakci uživatele ke spuštění. Mohou se poslat jako přílohu e-mailu nebo rychlé zprávy, nebo poslat odkaz na kopii sebe v těle zprávy. V těchto případech se zpráva musí být dostatečně přesvědčivé na podporu obětí klikněte na odkaz nebo přílohy a spustit nebo stáhnout kopii tohoto červa.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: c: \ Documents and Settings \ Administrator \ Data aplikací \ Data.dat
- Přítomnost těchto úprav registru:
c: \ Documents and Settings \ Administrator \ Data aplikací \ winlogon.exe
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Přidává hodnotu: StubPath
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {27de4d5a-faae-4f1c-c1d6-df3177fcda6a}
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {27de4d5a-faae-4f1c-c1d6-df3177fcda6a}
Přidanou hodnotu: "C: \ Documents and Settings \ Administrator \ Data aplikací \ winlogon.exe"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe: *: enabled: Windows messanger"
Pro
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe: *: enabled: Windows messanger"
Pro
Technické informace (analýza)
Worm:Win32/Ainslot.Aje červ - self-množit program, který může šířit sám sebe z jednoho počítače do druhého. Červi mohou šířit se prostřednictvím mnoha různých kanálů s cílem ohrozit nových počítačů. Obyčejně může červi šíří přímo kopírování se na vyměnitelné nebo síťové disky, nebo pokusem o využití konkrétní chyby na cílových počítačích. Červi často pokoušejí šířit prostřednictvím platformy, které vyžadují interakci uživatele ke spuštění. Mohou se poslat jako přílohu e-mailu nebo rychlé zprávy, nebo poslat odkaz na kopii sebe v těle zprávy. V těchto případech se zpráva musí být dostatečně přesvědčivé na podporu obětí klikněte na odkaz nebo přílohy a spustit nebo stáhnout kopii tohoto červa.
Instalace
Po spuštění Worm:Win32/Ainslot.Azkopíruje do c: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe .
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "Winlogon"
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Vzhledem k objemu dat: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Přidává hodnotu: StubPath
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {27de4d5a-faae-4f1c-c1d6-df3177fcda6a}
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ winlogon.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {27de4d5a-faae-4f1c-c1d6-df3177fcda6a}
Malware vytvoří následující soubory na postiženém počítači:
- c: \ documents and settings \ Administrator \ Data aplikací \ Data.dat
Se šíří ...
Vyjímatelné disky
Worm:Win32/Ainslot.A může vytvořit následující soubory na určitá jednotek při nanášení:
To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je vyměnitelný disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
- < cílené jednotka >: \ < malware souboru .> exe
- < Cílová jednotka >: \ autorun.ini
To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je vyměnitelný disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Poznámka: Tento červ byl pozorován napsat a vytvořit spustitelný soubor autorun.inf na cílené disku v naší automatizované testovací prostředí. Toto je zvláště obyčejné malware chování, obecně využívány k šíření škodlivého softwaru z počítače do počítače.
Je třeba také poznamenat, že soubory autorun.inf samy o sobě nejsou nutně známky infekce, jako jsou používány legitimními programů a instalačních CD.
Užitečná
Upraví nastavení zabezpečení systému
Worm:Win32/Ainslot.Apřidá se do seznamu aplikací, které jsou oprávněny k přístupu na internet, aniž by se zastavil u Firewall, tím, že v registru následující úpravy: Přidává hodnotu: "C: \ Documents and Settings \ Administrator \ Data aplikací \ winlogon.exe" s daty : "C: \ Documents and Settings \ Administrator \ Data aplikací \ winlogon.exe: *: enabled: Windows messanger" Pro
Kontakty vzdálený hostitel
Malware může obrátit na vzdáleného hostitele na mem0rex.no-ip.info pomocí portu 6661. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA13a0875a40b7eeb2b3eb893cb029c434c7d44ce0d .
Žádné komentáře:
Okomentovat