Encyklopedie vstup
Aktualizováno: 18.dubna 2012 | Publikováno: březen 29, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 18.dubna 2012 | Publikováno: březen 29, 2012 Aliasy
-
Trojan-Clicker.Win32.Cycler.alkj (Kaspersky)
- Trojan.CryptRedol.Gen.3 (BitDefender)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.470.0 Vydáno: 23.května 2012 | Detekce původně vytvořeny: Definice: 1.123.636.0 Vydáno: 29.března 2012 |
Shrnutí
TrojanDownloader:Win32/Obvod.K je trojan, který komunikuje se vzdáleným serverem pro příjem dat, která ríká, že k návštěvě jiné webové stránky.Trojan může také spustit webový prohlížeč a zobrazí mimo kontext reklamy na příslušném počítači.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
- %windir%\tasks\at1.job
- %windir%\tasks\at2.job
- a tak dále, až
- %windir%\tasks\at24.job
- Přítomnost této úpravy registru:V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
Nastaví hodnotu: "2500"
S údaje: "3"
Technické informace (analýza)
TrojanDownloader:Win32/Obvod.K je trojan, který komunikuje se vzdáleným serverem pro příjem dat, která ríká, že k návštěvě jiné webové stránky.Trojan může také spustit webový prohlížeč a zobrazí mimo kontext reklamy na příslušném počítači.
Instalace
Při spuštění, TrojanDownloader:Win32/Obvod.K kapky kopii sebe sama jako následující:
%ALLUSERSPROFILE%\Application Data\<eight náhodné characters>.exe
Například "C:\Documents and Settings\All Users\Application Data\ilu5my34.exe""C:\Documents and Settings\All Users\Application Data\rdn7o5qq.exe", Nebo a"C:\Documents and Settings\All Users\Application Data\vo0qrbyn.exe".
Vytváří 24 pracovních soubory, jeden pro každou hodinu dne, k provedení Trojan jednou za hodinu. Tyto pracovní soubory jsou vyčísleny a uloženy jako následující:
- %windir%\tasks\at1.job
- %windir%\tasks\at2.job, a tak dále, dokud
- %windir%\tasks\at24.job
Užitečná
Upraví nastavení zabezpečení Internetu
Trojan je následující registru úpravy, aby bylo Zakázat ladění skriptů pro aplikaci Internet Explorer:
V podklíč: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Nastaví hodnotu: "DisableScriptDebuggerIE"
S údaje: "yes"
Nastaví hodnotu: "DisableScriptDebuggerIE"
S údaje: "yes"
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
Nastaví hodnotu: "2500"
S údaje: "3"
Nastaví hodnotu: "2500"
S údaje: "3"
Komunikuje se vzdáleným serverem
TrojanDownloader:Win32/Obvod.K připojuje k určité vzdáleného serveru pro příjem šifrovaných dat, které je uložené v dočasné soubory složky jako náhodně pojmenovaný soubor s .DATpříponu souboru. Šifrovaná data obsahuje seznam webových stránek, které navštěvují nebo seznam souborů ke stažení. Ve volné přírodě vzdálené servery patří následující:
- 109.230.217.44
- 188.190.98.22
- 92.241.163.23
- cc.hfuidhfd.jp
- pfif4.hfuidhfd.jp
Zobrazuje reklamy
Tento malware se otevře Internet Explorer a vstřikuje více IFrame tagy do aktuální relace, což v několika Internet Explorer zasedání otevření na webové stránky, které obsahují reklamu.
Analýza podle Hyun Choi
Žádné komentáře:
Okomentovat