Encyklopedie vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Červen 04, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Červen 04, 2010 Aliasy
-
TROJ_SWISYN.FE (Trend Micro)
- Trojan.Win32.Swisyn.acek (Kaspersky)
- Troj/Ashwho-A (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.83.1006.0 Vydáno: 02.06.2010 |
Shrnutí
Worm:Win32/Arhost.Aje červ - self-množit program, který může šířit sám sebe z jednoho počítače do druhého. Červi mohou šířit se prostřednictvím mnoha různých kanálů s cílem ohrozit nové stroje. Obyčejně může červi šíří přímo kopírování se na vyměnitelné nebo síťové disky, nebo pokusem o využití konkrétní chyby na určitá zařízení. Červi často pokoušejí šířit prostřednictvím platformy, které vyžadují interakci uživatele ke spuštění. Mohou se poslat jako přílohu e-mailu nebo rychlé zprávy, nebo poslat odkaz na kopii sebe v těle zprávy. V těchto případech se zpráva musí být dostatečně přesvědčivé na podporu obětí klikněte na odkaz nebo přílohy a spustit nebo stáhnout kopii tohoto červa.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
Přítomnost následujícího souboru / s:
c: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe
Přítomnost těchto úprav registru:
Přidanou hodnotu: "MSWUpdate"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "MSWUpdate"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Shell"
S údajů: "explorer.exe" C: \ Documents and Settings \ Administrator \ Data aplikací \ Lsass.exe ""
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
S údajů: "explorer.exe" C: \ Documents and Settings \ Administrator \ Data aplikací \ Lsass.exe ""
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Technické informace (analýza)
Worm:Win32/Arhost.Aje červ - self-množit program, který může šířit sám sebe z jednoho počítače do druhého. Červi mohou šířit se prostřednictvím mnoha různých kanálů s cílem ohrozit nové stroje. Obyčejně může červi šíří přímo kopírování se na vyměnitelné nebo síťové disky, nebo pokusem o využití konkrétní chyby na určitá zařízení. Červi často pokoušejí šířit prostřednictvím platformy, které vyžadují interakci uživatele ke spuštění. Mohou se poslat jako přílohu e-mailu nebo rychlé zprávy, nebo poslat odkaz na kopii sebe v těle zprávy. V těchto případech se zpráva musí být dostatečně přesvědčivé na podporu obětí klikněte na odkaz nebo přílohy a spustit nebo stáhnout kopii tohoto červa.
Instalace
Worm:Win32/Arhost.A vytvoří následující soubor (y) na postiženém počítači:
- c: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe - detekován jakoWorm:Win32/Arhost.A
Malware modifikuje následující položku registru / y, aby c: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe spustí při každém spuštění systému Windows:
Přidanou hodnotu: "MSWUpdate"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "MSWUpdate"
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "C: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "Shell"
S údajů: "explorer.exe" C: \ Documents and Settings \ Administrator \ Data aplikací \ Lsass.exe ""
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
S údajů: "explorer.exe" C: \ Documents and Settings \ Administrator \ Data aplikací \ Lsass.exe ""
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Se šíří ...
Vyjímatelné disky
Worm:Win32/Arhost.Amůže vytvořit následující soubor / S dne cílených jednotek při nanášení: < cílené disk >: \ system.exe - detekován jako
Worm:Win32/Arhost.A. To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je odnímatelná přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Worm:Win32/Arhost.A. To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je odnímatelná přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Poznámka: Tento červ byl pozorován napsat a vytvořit spustitelný soubor autorun.inf na cílené disku v naší automatizované testovací prostředí. Toto je zvláště obyčejné malware chování, obecně využívány k šíření škodlivého softwaru z počítače na počítač.
Je třeba také poznamenat, že soubory autorun.inf samy o sobě nejsou nutně známky infekce, jako jsou používány legitimními programů a instalačních CD.
Užitečná
Kontakty vzdálený hostitel
Worm:Win32/Arhost.A mohou obrátit na vzdáleného hostitele na solar.is-a-geek.org pomocí portu 3175. Obyčejně, malware může obrátit na vzdáleného hostitele pro následující účely:
- Chcete-li nahlásit nové infekce autora
- Chcete-li přijímat konfigurační nebo jiné údaje,
- Chcete-li stáhnout a spustit libovolný soubor (včetně aktualizací nebo další malware)
- Chcete-li přijímat pokyny od vzdáleného útočníka
- Chcete-li odeslat údaje přebírané z postiženého počítače
Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA16b0834695b40fad173f9980da87c24c37cd9fd15 . Pokud byste chtěli, aby se vyjádřil k této analýzy, zašlete prosím svůj názor na mmpc-amd@microsoft.com~~pobj.
Žádné komentáře:
Okomentovat