neděle 20. května 2012

Worm:Win32/Ganelp.B


Encyklopedický vstup
Aktualizováno: 20.května 2011  |  Vydáno: 13. května 2011 Aliasy


  • Trojan.Proxy.19251 (Dr.Web)
  • Trojan.Agent3 (Ikarus)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.285.0
Vydáno: 19.května 2012		Detekce původně vytvořeny:
Definice: 1.103.1631.0
Vydáno: 13.května 2011

Na této stránce

Shrnutí záložky | Příznaky Technické informace Prevence zotavení

 

Shrnutí

Worm:Win32/Ganelp.Bje červ, který se šíří do vyměnitelných jednotek a do dalších počítačů při připojení k infikovaného disku. Červ napadá vyměnitelných jednotek v škodlivým způsobem tím, že nahradí soubory v kořenovém adresáři na disku s kopií červa.

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů: % ProgramFiles% \ <serial číslo> \ jusched.exe

Top

 

Technické informace (analýza)

Worm:Win32/Ganelp.Bje červ, který se šíří do vyměnitelných jednotek a do dalších počítačů při připojení k infikovaného disku. Červ napadá vyměnitelných jednotek v škodlivým způsobem tím, že nahradí soubory v kořenovém adresáři na disku s kopií červa.
Instalace
Při spuštění, Worm:Win32/Ganelp.B klesne kopii červa jako následující:
 
% ProgramFiles% \ <serial číslo> \ jusched.exe
 
Kde <serial číslo> je místní jednotka objemu sériové číslo a je řetězec jako " acc0ea15 ". Červ vytváří následující naplánované úlohy ke spuštění červa v naplánovanou dobu:
 
% Windir% \ Tasks \ update23.job
 
Červ obchází Windows firewall úpravou registru dat.
 
V
Nastavuje hodnotu: " % ProgramFiles% \ <serial číslo> \ jusched.exe "
S údaji: " program_files%% \ <serial číslo> \ jusched.exe: *: enabled: javaupdate23 "
 
Během infekce červem, vytvoří datový soubor, který obsahuje země umístění (locale) z infikovaného počítače jako následující:
 
% ProgramFiles% \ <serial číslo> \ <serial číslo>
 
Kde <serial číslo> je místní jednotka objemu sériové číslo a je řetězec jako " acc0ea15 ".
Se šíří ...
Vyjímatelné disky
Červ napadá vyměnitelných jednotek a nahradit soubory v kořenovém adresáři jednotky s kopií červa.
 
Užitečná
Změny nastavení aplikace Internet Explorer
Worm:Win32/Ganelp.Bupustí spustitelný soubor do složky Dočasné soubory jako " <serial číslo>. exe ". Klesl spustitelný běží, což změnou domovské stránky a nastavení vyhledávání pro aplikaci Internet Explorer.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)