Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 23, 2009 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 23, 2009 Aliasy
-
Trojan.Win32.Llac.aaf (Kaspersky)
- Win32/Spatet.A (ESET)
- Trj/Spy.YM (Panda)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.71.71.0 Vydáno: 20.listopadu 2009 |
Shrnutí
Worm:Win32/Rebhip.A je červ, který se šíří prostřednictvím vyměnitelných jednotek a snaží se ukrást citlivé informace z postiženého počítače.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
<system folder> \ WinDefence \ windefence32.exe
C: \ Documents and Settings \ <uživatel> \ Local Settings \ Temp \ uuu.uuu - Přítomnost těchto úprav registru:
C: \ Documents and Settings \ <uživatel> \ Local Settings \ Temp \ xxx.xxx
Přidanou hodnotu: " WinDefence "
S údaji: " C: \ WINDOWS \ system32 \ WinDefence \ windefence32.exe "
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Chcete-li podklíč: HKCU \ Software \ SlysBitch
Přidanou hodnotu: " FirstExecution "
s údaji: "<aktuální datum a time>" (například: "21/12/2009 - 03:58")
s údaji: "<aktuální datum a time>" (například: "21/12/2009 - 03:58")
Přidanou hodnotu: " NewIdentification "
s údaji: " SlysBitch "
s údaji: " SlysBitch "
Technické informace (analýza)
Worm:Win32/Rebhip.A je červ, který se šíří prostřednictvím vyměnitelných jednotek a snaží se ukrást citlivé informace z postiženého počítače.
Instalace
Po spuštění Worm:Win32/Rebhip.Azkopíruje do <system folder> \ \ WinDefence windefence32.exe a upraví registr tak, tento soubor je vykonán při každém spuštění systému Windows:
Přidanou hodnotu: " WinDefence "
S údaji: "<system folder> \ WinDefence \ windefence32.exe "
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
Červ může kopírovat sebe do dalších souborů, jako jsou následující:
<system folder> \ TaskManager \ task.exe<system folder> \ install \ system.exe<system folder> \ backup \ winbackup.exe<system folder> \ windows \ windows.exe% windir% \ install \ Update.exe
Poznámka - <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Worm:Win32/Rebhip.Amůže také otevřít " iexplore.exe "a vstříkněte kód do něj.
Se šíří ...
Vyjímatelné disky
Worm:Win32/Rebhip.A se šíří prostřednictvím kopírování se vztahuje na všechny dostupné vyměnitelné jednotky pomocí jedné z následujících názvy souborů:
task.exe
system.exe
winbackup.exe
windows.exe
Update.exe
system.exe
winbackup.exe
windows.exe
Update.exe
Červ pak píše autorun konfigurační soubor s názvem " autorun.inf "ukazuje na červa kopii. Když je disk přistupovat z počítače podporující funkci Autorun, červ se automaticky spustí.
Užitečná
Ukradne citlivá data
Worm:Win32/Rebhip.Amůže shromažďovat různé informace o systému, například podrobnosti o ní se bezpečnostní software nainstalovaný v systému, a které procesy nebo služby jsou v současné době v provozu. Může se také přihlásit stisky kláves a pokusit se získat hesla. Worm:Win32/Rebhip.Avysílá své shromážděná data do různých vzdálených hostitelů. Například, jedna varianta pozorována kontaktovat sly.fcuked.me.uk pro tento účel.Další informace
Worm:Win32/Rebhip.A činí tyto dodatečné úpravy registru:
Chcete-li podklíč: HKCU \ Software \ SlysBitch
Přidanou hodnotu: " FirstExecution "
s údaji: "<aktuální datum a time>" (například: "21/12/2009 - 03:58")
s údaji: "<aktuální datum a time>" (například: "21/12/2009 - 03:58")
Přidanou hodnotu: " NewIdentification "
s údaji: " SlysBitch "
s údaji: " SlysBitch "
Vytváří také následující soubory:
"C: \ Documents and Settings \ <uživatel> \ Local Settings \ Temp \ uuu.uuu "
"C: \ Documents and Settings \ <uživatel> \ Local Settings \ Temp \ xxx.xxx "
Oba soubory obsahují aktuální systémový čas.
Žádné komentáře:
Okomentovat