Encyklopedický vstup
Aktualizováno: 20.května 2011 | Vydáno: 13. května 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 20.května 2011 | Vydáno: 13. května 2011 Aliasy
-
Trojan.Proxy.19251 (Dr.Web)
- Trojan.Agent3 (Ikarus)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.285.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.103.1631.0 Vydáno: 13.května 2011 |
Shrnutí
Worm:Win32/Ganelp.Bje červ, který se šíří do vyměnitelných jednotek a do dalších počítačů při připojení k infikovaného disku. Červ napadá vyměnitelných jednotek v škodlivým způsobem tím, že nahradí soubory v kořenovém adresáři na disku s kopií červa.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: % ProgramFiles% \ <serial číslo> \ jusched.exe
Technické informace (analýza)
Worm:Win32/Ganelp.Bje červ, který se šíří do vyměnitelných jednotek a do dalších počítačů při připojení k infikovaného disku. Červ napadá vyměnitelných jednotek v škodlivým způsobem tím, že nahradí soubory v kořenovém adresáři na disku s kopií červa.
Instalace
Při spuštění, Worm:Win32/Ganelp.B klesne kopii červa jako následující:
% ProgramFiles% \ <serial číslo> \ jusched.exe
Kde <serial číslo> je místní jednotka objemu sériové číslo a je řetězec jako " acc0ea15 ". Červ vytváří následující naplánované úlohy ke spuštění červa v naplánovanou dobu:
% Windir% \ Tasks \ update23.job
Červ obchází Windows firewall úpravou registru dat.
V
Nastavuje hodnotu: " % ProgramFiles% \ <serial číslo> \ jusched.exe "
S údaji: " program_files%% \ <serial číslo> \ jusched.exe: *: enabled: javaupdate23 "
Během infekce červem, vytvoří datový soubor, který obsahuje země umístění (locale) z infikovaného počítače jako následující:
% ProgramFiles% \ <serial číslo> \ <serial číslo>
Kde <serial číslo> je místní jednotka objemu sériové číslo a je řetězec jako " acc0ea15 ".
Se šíří ...
Vyjímatelné disky
Červ napadá vyměnitelných jednotek a nahradit soubory v kořenovém adresáři jednotky s kopií červa.
Užitečná
Změny nastavení aplikace Internet Explorer
Worm:Win32/Ganelp.Bupustí spustitelný soubor do složky Dočasné soubory jako " <serial číslo>. exe ". Klesl spustitelný běží, což změnou domovské stránky a nastavení vyhledávání pro aplikaci Internet Explorer.
Žádné komentáře:
Okomentovat