VirTool:Win64/Gowfi.A

Encyklopedický vstup
Aktualizováno: 31.května 2011  |  Vydáno: 27. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.105.313.0 Vydáno: 23.května 2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

VirTool:Win64/Gowfi.A je detekce pro 64-bitové verze malware, který se snaží odstranit webové prohlížeče souborů bezpečnostní plug-in a také přesměrování internetového prohlížeče přístup k některým on-line bankovních webových stránkách.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Neočekávaný stránky textu při návštěvě stránky " www2.bancobrasil.com.br "nebo" aapj.bb.com.br "

• Upravená local ' hosts souboru, která obsahuje odkaz na stránkách je uvedeno výše

Top

---

 

Technické informace (analýza)

VirTool:Win64/Gowfi.A je detekce pro 64-bitové verze malware, který se snaží odstranit webové prohlížeče souborů bezpečnostní plug-in a také přesměrování internetového prohlížeče přístup k některým on-line bankovních webových stránkách.

Instalace

Tento malware se instaluje buď Trojan: BAT / Gowfi.A nebo Trojan: Java / Gowfi.A .

 

Užitečná

Přesměrování prohlížení on-line bankovnictví

Tento malware modifikuje místního souboru Hosts přesměrovat přístup k těmto konkrétní stránky internetového bankovnictví na IP adresu216.155.133.236 :

• www2.bancobrasil.com.br
• aapj.bb.com.br

 

Odstranit soubory

VirTool: WinNT / Gowfi.A pokusí odstranit následující soubory, které jsou součástí zabezpečení webového prohlížeče pluginu de programas \ \ GbPlugin gbieh.dll \ Device \ PevnýDisk0 \ Partition2 \ Arquivos de programas \ \ GbPlugin GbpSv.exe \ Device \ PevnýDisk0 \ Partition2 \ Arquivos de programas \ \ GbPlugin bb.gpc \ Device \ pevný_disk0 \ Program Files \ Partition2 odst. x86) \ GbPlugin \ abn.gpc \ Device \ \ PevnýDisk0 Partition2 \ Program Files (x86) \ GbPlugin \ gbieh.gmd \ Device \ \ PevnýDisk0 Partition2 \ Program Files (x86) \ GbPlugin \ GbpSv.exe \ Device \ PevnýDisk0 \ Partition2 \ Program Files (x86) \ \ GbPlugin gbieh.dll \ Device \ \ PevnýDisk0 Partition2 \ Program Files (x86) \ GbPlugin \ bb.gpc \ Device \ \ PevnýDisk0 Partition2 \ Program Files (x86) \ GbPlugin \ gbiehAbn.dll \ Device \ \ PevnýDisk0 Partition2 \ Program Files (x86) \ GbPlugin \ gbpdist.dll \ Device \ PevnýDisk0 \ Partition2 \ windows \ Downloaded Program Files \ gbieh.gmd \ Device \ \ PevnýDisk0 Partition2 \ windows \ Downloaded Program Files \ ABN.gpc \ Device \ \ PevnýDisk0 Partition2 \ windows \ Downloaded Program Files \ gbiehabn.dll \ Device \ \ PevnýDisk0 Partition2 \ windows \ Downloaded Program Files \ GbPluginABN.inf ​​\ Device \ PevnýDisk0 \ Partition2 \ Arquivos de programas \ GbPlugin \ gbiehAbn.dll \ Device \ PevnýDisk0 \ Partition2 \ Program Files \ \ GbPlugin abn.gpc \ Device \ \ PevnýDisk0 Partition2 \ Program Files \ \ GbPlugin gbiehAbn.dll \ Device \ \ PevnýDisk0 Partition2 \ Program Files \ \ GbPlugin gbieh.gmd \ Device \ pevný_disk0 \ Program Files \ Partition2 \ \ GbPlugin GbpSv.exe \ Device \ \ PevnýDisk0 Partition2 \ Program Files \ \ GbPlugin gbieh.dll \ Device \ \ PevnýDisk0 Partition2 \ Program Files \ GbPlugin \ bb.gpc \ Device \ PevnýDisk0 \ Partition2 \ Arquivos de programas \ GbPlugin \ gbpdist . dll \ Device \ \ PevnýDisk0 Partition2 \ Program Files \ \ GbPlugin gbpdist.dll \ Device \ pevný_disk0 \ \ Partition2 Arquivos de programas \ \ GbPlugin abn.gpc \ Device \ \ PevnýDisk0 Partition2 \ windows \ Downloaded Program Files \ ABN.inf ​​\ Zařízení \ PevnýDisk0 \ Partition2 \ windows \ Downloaded Program Files \ gbiehAbn.dll \ Device \ PevnýDisk0 \ Partition2 \ Arquivos de programas \ GbPlugin \ gbieh.gmd

 

HackTool:Win64/PWDump

Encyklopedický vstup
Aktualizováno: 17.dubna 2011  |  Zveřejněno: Nov 03, 2010 Aliasy

Tool.Pwdump.127 (Dr.Web)
• Win32/PSWTool.PWDump6.A (ESET)
• not-a-virus:PSWTool.Win32.PWDump.lv (Kaspersky)
• Trj/WL-heur.A (Panda)
• Pwdump (Symantec)
• PWCrack-Pwdump (McAfee)

Úroveň pohotovosti (?)
Střední

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.127.519.0 Vydáno: 23.května 2012

Detekce původně vytvořeny: Definice: 1.93.770.0 Vydáno: 29.října 2010

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

HackTool:Win64/PWDumpje nástroj používaný v rozhraní příkazového řádku na 64bitových počítačích se systémem Windows extrahovat NTLM LanMan) hash z " Lsass.exe "v paměti.

Top

---

 

Příznaky

Varovná oznámení nebo zjištění tohoto malwaru z nainstalovaného antiviru nebo bezpečnostního softwaru může být jen další příznaky.

Top

---

 

Technické informace (analýza)

HackTool:Win64/PWDumpje nástroj používaný v rozhraní příkazového řádku na 64bitových počítačích se systémem Windows extrahovat NTLM LanMan) hash z " Lsass.exe "v paměti. Tento nástroj může být použit ve spojení s malware nebo jiné pomůcky penetrační testy k získání pověření pro použití v ověřování pravosti systému Windows.

 

Při spuštění, tento nástroj vstřikuje kód do Local Security Authority Subsystem odst. LSASS) procesem a běží se stejnými systémovými právy. Nástroj používá následující API z " samsrv.dll "na skládky heslo hash z Security Manager účtů (SAM) databáze:

• SamIConnect
• SamrOpenDomain
• SamrOpenUser
• SamrQueryInformationUser
• SamrEnumerateUsersInDomain

 

Nástroj vytvoří pojmenovanou rouru a vyklápění shromáždili informace o uživateli souboru.

MonitoringTool:Win64/KGBKeylogger

Encyklopedický vstup
Aktualizováno: 17.dubna 2011  |  Zveřejněno: Září 24, 2010 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.103.861.0 Vydáno: 02.05.2011

Detekce původně vytvořeny: Definice: 1.89.639.0 Vydáno: Srpen 30, 2010

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

MonitoringTool:Win64/KGBKeyloggerje verze MonitoringTool: Win32/KGBKeylogger běží v 64-bitové verze Windows.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost MonitoringTool:Win64/KGBKeylogger:

• Displej následujícího rozhraní aplikace:
  

Top

---

 

Technické informace (analýza)

MonitoringTool:Win64/KGBKeyloggerje verze MonitoringTool: Win32/KGBKeylogger běží v 64-bitové verze Windows.

 

MonitoringTool:Win64/KGBKeylogger je program, který je schopen vykonávat některou z následujících akcí:

 

• Monitor úhozů
• Zachycení obrazovky
• Shromážděte WWW stránek
• Získat do schránky
• Monitor počítače nebo program činnosti

 

MonitoringTool:Win64/KGBKeylogger lze spustit z následujících možností:

 

• spuštěné procesy
• Ikona zásobník
• zástupce na ploše
• V nabídce Start

 

Po instalaci může zobrazit následující stříkání obrazovky:

 

 

 

 

 

 

 

Při spuštění, může se zobrazit následující rozhraní:

 

 

Trojan:Win64/Sirefef.B

Encyklopedie vstup
Aktualizováno: 20.září 2011  |  Zveřejněno: Červen 21, 2011 Aliasy

BackDoor.Maxplus.23 (Dr.Web)
• ZeroAccess.b (McAfee)
• Zero Access rootkit (other)
• Max++ (other)
• ZAccess (other)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.125.1854.0 Vydáno: 15.května 2012

Detekce původně vytvořeny: Definice: 1.107.77.0 Vydáno: 21.června 2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.B je trojan, který se připojí ke vzdálenému serveru, ke stažení libovolné soubory, které mohou obsahovat malware, jako například další složky Sirefef, a může být přítomen na příslušném počítači jako soubor s názvem "consrv.dll".

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Přítomnost těchto souborů:
  %windir%\System32\confsrv.dll
• Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.B je trojan, který se připojí ke vzdálenému serveru, ke stažení libovolné soubory, které mohou obsahovat malware, jako ostatní složky Sirefef.

Instalace

Tento trojan je instalován jiný malware, jako je Trojan slovy: Win64/Sirefef.A, a může být přítomen na příslušném počítači jako následující soubor:

• %windir%\System32\consrv.dll

Trojan je vstříknut do procesu "svchost.exe"A jeho užitečné zatížení je vykonán.

Užitečná

Ke stažení libovolné soubory
Trojan:Win64/Sirefef.B připojí ke vzdálenému serveru načíst příkazy, které by mohly zahrnovat následující kroky:

• stáhnout libovolné soubory nebo aktualizované Sirefef komponenty
• spouštět načtené soubory
• injekci načtené soubory do jiných procesů

Trojan:Win64/Sirefef.C

Encyklopedický vstup
Aktualizováno: 07.12.2011  |  Zveřejněno: Nov 26, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.115.1100.0 Vydáno: 02.11.2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.C je trojan, který se připojí ke vzdálenému serveru stahovat libovolné soubory, které mohou obsahovat malware, jako ostatní složkySirefefmalware rodina. Tento trojan se obvykle instalovány další varianty, jako je SirefefTrojan:Win32/Sirefef.J.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Přítomnost souboru s názvem "X" v náhodně s názvem složky, jako je například následující:
  c:\Documents and Settings\Administrator\Local Settings\Application Data\936d2a1d\X
  
• Přítomnost těchto dat registru: V podklíči:
  
  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  Nastaví hodnotu: "Shell"
  S údaje: "c:\Documents and Settings\Administrator\Local Settings\Application Data\936d2a1d\X"
• Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.

 

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.C je trojan, který se připojí ke vzdálenému serveru stahovat libovolné soubory, které mohou obsahovat malware, jako ostatní složkySirefef malware rodina.

Instalace

Tento trojan se obvykle instalován jiné varianty Sirefef jako Trojan:Win32/Sirefef.J a vyskytuje se soubor s názvem "X"V náhodně jmenoval cestu k souboru, jako v následujícím příkladu:

• c:\Documents and Settings\Administrator\Local Settings\Application Data\936d2a1d\X

Registr je upravené pro provoz Trojan v každé Windows přihlášení, jako v následujícím příkladu:

V podklíč: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nastaví hodnotu: "Shell"
S údaje: "c:\Documents and Settings\Administrator\Local Settings\Application Data\936d2a1d\X"

Tyto trojské ukládá data do registru podklíč, který souvisí se snížil názvu souboru, stejně jako v následujícím příkladu podklíč:

• HKCU\Software\936d2a1d

Trojan:Win64/Sirefef.C může aplikovat jeho užitečné zatížení kód do "explorer.exe"Nebo"winlogon.exeProcesů a spustit jej.

Užitečná

Ke stažení a vykonává libovolné soubory

Trojan se může připojit ke vzdálenému serveru, jako je 193.105.154.210, Získat a vykonávat příkazy, které by mohly zahrnovat následující kroky:

• Stáhněte si libovolné soubory nebo aktualizovány Sirefef složky
• Provést načtené soubory
• Injekci načtené soubory do jiných procesů 

Trojan:Win64/Sirefef.D

Encyklopedický vstup
Aktualizováno: 14.prosince 2011  |  Zveřejněno: Nov 02, 2011 Aliasy

Trojan.Sirefef.K (BitDefender)
• ZeroAccess.b (McAfee)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.115.1100.0 Vydáno: 02.11.2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.D je 64-bit uživatelského režimu součástí Win32/Sireferrootkit. Je to součást zodpovědný za generování falešné provoz na webu návštěvník započtení služby poskytovány "liveinternet.ru". Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Následující změna registru: V podklíči:
  
  HKLM\SYSTEM\CurrentControlSet\services\mrxsmb
  Změněno hodnota: "Type"
  Data: "1"

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.D je 64-bit uživatelského režimu součástí Win32/Sireferrootkit. Je to součást zodpovědný za generování falešné provoz na webu návštěvník započtení služby poskytovány "liveinternet.ru". Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.

Instalace

Trojan:Win64/Sirefef.D mohou být vytvořeny Win32/Sirefef rootkit montéři, jako Trojan:Win32/Sirefef.J a Backdoor:Win32/Smadow.

Následující složky označené jako "skrytý", mohou být také vytvořeny rootkit instalaci spolu s Trojan:Win64/Sirefef.D:

• %windir%\$NtUninstallKB<decimal číslo>
• %APPDATA%\<hexadecimal string>

Trojan:Win64/Sirefef.D mohou být přítomny jako soubor "counter.dll"V první složky vytvořené výše. Nicméně, pokud se uživatel pokusí získat přístup k těmto složkám, může rootkit ukončit proces přistupuje.

Rootkit montéři mohou také změnit hodnotu registru "Type"Na" 1 "pro následující Windows Služba podklíč, když Trojan:Win64/Sirefef.D je nainstalován:

HKLM\SYSTEM\CurrentControlSet\services\mrxsmb  

Užitečná

Vytváří falešný provoz na některých webových stránkách

Trojan:Win64/Sirefef.D vytváří falešný návštěvnost na webových stránkách návštěvník započtení služby poskytované "liveinternet.ru"-. Veřejné webové stránky hodnocení služby dotaz směřuje na server"counter.yadro.ru"S následujícím GET požádat každých 900 sekund:

GET /hit?t52.6;rhttp://0;s320*200*32;u/0;0.<value na základě současného time> HTTP/1.1
Referer: <website je promoted>0
User-Agent: Opera/6 (Windows NT 5.00; U)

, kde je <website promoted> je web, který generuje falešné provoz pro.

Trojan:Win64/Sirefef.J

Encyklopedický vstup
Aktualizováno: 14.prosince 2011  |  Zveřejněno: Nov 30, 2011 Přezdívky Není k dispozici Alert úroveň (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.115.2858.0 Vydáno: 30.listopadu 2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.J je trojan, součástí Win32/Sirefef , který obsahuje volné těžební klienta pro Windows detekován jako Program:Win32/CoinMiner.

Top

---

 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.J je trojan, součástí Win32/Sirefef , který obsahuje volné těžební klienta pro Windows. Těžba klient je detekován jakoProgram:Win32/CoinMiner a mohou být použity k výrobě nových digitálních mincí v BitCoindecentralizované ekonomiky provedením velmi složité výpočty. Chcete-li vytvořit tyto mince,Program:Win32/CoinMiner používá počítače CPU zdrojů intenzivně.

Trojan:Win64/Simda.A

Encyklopedický vstup
Aktualizováno: 24.února 2012  |  Publikováno: Oct 21, 2011 Aliasy

Backdoor.Win32.Proxyier.c (Kaspersky)
• TR/Simda.A.247 (Avira)
• Trojan.Rodricter.1 (Dr.Web)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.121.1078.0 Vydáno: 07.3.2012

Detekce původně vytvořeny: Definice: 1.115.281.0 Vydáno: 21.října 2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Simda.A je 64-bit složkou Backdoor:Win32/Simda.A. Tato komponenta je zodpovědný za povýšení oprávnění v64-bitprostředí. To umožňuje hlavní zadní vrátka kód, který provádí operace systému souborů, které vyžadují zvýšenou oprávnění bez zobrazení upozornění zabezpečení pomocíuser account control (UAC).

Top

---

 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.

Top

---

 

Technické informace (analýza)

Trojan:Win64/Simda.A je 64-bit složkou Backdoor:Win32/Simda.A. Tato komponenta je zodpovědný za povýšení oprávnění v64-bitprostředí. To umožňuje hlavní zadní vrátka kód, který provádí operace systému souborů, které vyžadují zvýšenou oprávnění bez zobrazení upozornění zabezpečení pomocíuser account control (UAC).

Instalace

Trojan:Win64/Simda.A je vytvořen jako samostatný proces Backdoor:Win32/Simda.A instalace.

Užitečná

Kapky další malware

Trojan:Win64/Simda.A klesne další 64-bit DLL soubor na disk a vstřikuje jej do "explorer.exe"Proces, který běží s administrátorskými právy, a proto nevyžaduje Řízení uživatelských účtů (UAC).

Vstřikované DLL Soubor je detekován jako Trojan:Win64/Simda.B a je zodpovědný za vytvoření zvýšené COM object (COM Elevation Moniker), Který se pak používá k provádění operací se soubory v chráněných systémových složek. VstřikovanéDLL file je pak odstraněn z disku poté, co provádí svou škodlivou rutinu.

Trojan:Win64/Sirefef.U

Encyklopedie vstup
Aktualizováno: 09.5.2012  |  Publikováno: Březen 26, 2012 Aliasy

Backdoor.Win64.ZAccess.bh (Kaspersky)
• Zero Access (other)
• W64/Malware!55c8 (Command)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.123.403.0 Vydáno: 26.března 2012

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.U je součástí Win64/Sirefef- Vícekomponentní rodina malwaru, který mírní internetového připojení uživatele, kterým se mění výsledky vyhledávání, a vytváří pay-per-click příjmů z reklamy pro vzdálené útočníky. Sirefef rodina se skládá komponenty, které plní různé funkce, jako je stahování aktualizací a další součásti, skrývá existující komponenty nebo provádění užitečné zatížení.

Top

---

 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky. 

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.U je součástí Win64/Sirefef- Vícekomponentní rodina malwaru, který mírní internetového připojení uživatele, kterým se mění výsledky vyhledávání, a vytváří pay-per-click příjmů z reklamy pro vzdálené útočníky. Sirefef rodina se skládá komponenty, které plní různé funkce, jako je stahování aktualizací a další součásti, skrývá existující komponenty nebo provádění užitečné zatížení.

Instalace

Trojan:Win64/Sirefef.U je nainstalován ve variantách Win64/Sirefef.

Užitečná

Instaluje další škodlivý software

Při spuštění se nainstaluje kopii trojan, který je detekován jako Win64/Sirefef.Y. Malware byl pozorován názvy souborů, jako jsou následující:

• irenum.dll
• dmserver.dll
• imagedrv.dll
• ino_flpy.dll
• svcwmu.dll
• wlmel51b.dll
• AppnBase.dll

Win64/Sirefef poskytuje funkce pro Win64/Sirefef sledovat malware aktuálně spuštěné služby a instalovat další komponenty Sirefef rodina malware.

Trojan:Win64/Sirefef.Q

Encyklopedie vstup
Aktualizováno: 23.května 2012  |  Publikováno: Únor 29, 2012 Aliasy

Zeroaccess (other)
• Trojan.Sirefef.BR (BitDefender)
• Win64/Sirefef.W trojan (ESET)
• Troj/ZAccess-AD (Sophos)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce původně vytvořeny: Definice: 1.121.645.0 Vydáno: 29.února 2012

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win64/Sirefef.Q je 64-bit uživatelský režim součástí Win32/Sirefef rootkit. Win32/Sirefef je vícekomponentní malware, který se mění hledání na internetu tím, že zobrazuje irelevantní výsledky.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Přítomnost těchto registru změnami:
  V podklíčů:
  HKLM\SYSTEM\CurrentControlSet\services\.mrxsmb
  HKLM\SYSTEM\CurrentControlSet\services\.afd
  HKLM\SYSTEM\CurrentControlSet\services\.cdrom
  HKLM\SYSTEM\CurrentControlSet\services\.serial
  Nastaví hodnotu: "Type"
  Vzhledem k objemu dat: " 1 "

Top

---

 

Technické informace (analýza)

Trojan:Win64/Sirefef.Q je 64-bit uživatelský režim součástí Win32/Sirefef rootkit. Win32/Sirefef je vícekomponentní malware, který se mění hledání na internetu tím, že zobrazuje irelevantní výsledky.

Instalace

Trojan:Win64/Sirefef.Q obvykle vytváří Win32/Sirefef rootkit Instalační program na 64-bit Windows systémy, jako Trojan:Win32/Sirefef.P aBackdoor:Win32/Smadow. 32-bit verze je vytvořena stejným instalaci na 32-bit systémy a je detekován jako Trojan:Win32/Sirefef.AA neboTrojan:Win32/Sirefef.AC.

To se může změnit následující položky registru:

V podklíče:
HKLM\SYSTEM\CurrentControlSet\services\.mrxsmb
HKLM\SYSTEM\CurrentControlSet\services\.afd
HKLM\SYSTEM\CurrentControlSet\services\.cdrom
HKLM\SYSTEM\CurrentControlSet\services\.serial
Nastaví hodnotu: "Type"
Vzhledem k objemu dat: " 1 "

Užitečná

Funguje jako záložní instalační

Trojan:Win64/Sirefef.Q se jeví jako Windowsslužba, která funguje jako záložní rootkit instalačního programu. Hlavní užitečné zatíženíTrojan:Win64/Sirefef.Q je skryta v prodloužené atributy proudu trojského souboru.

Upravuje výsledky internetových vyhledávačů

Hlavní Win32/Sirefef Užitečné zatížení je změnit využití Internetu změnou výsledků hledání.