Encyklopedický vstup
Aktualizováno: 17.dubna 2010 | Zveřejněno: Oct 26, 2009 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2010 | Zveřejněno: Oct 26, 2009 Aliasy
-
Packed.Win32.Tdss.a (Kaspersky)
- W32/FakeAlert.AWTT.dropper (Norman)
- Win32/Kryptik.DJ (ESET)
- Win32/FakeAv.YL (CA)
- Adware.VirtuMonde (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.95.2793.0 Vydáno: 29.prosince 2010 | Detekce původně vytvořeny: Definice: 1.65.1049.0 Vydáno: 23.září 2009 |
Shrnutí
Trojan:Win32/Alureon.COje trojan, který stáhne a spustí libovolný soubor. Některé malware, pomocí detekčního s tímto jménem se také mohou šířit se do vyměnitelných jednotek.
Více informací o Win32/Alureon, navštivte naše rodinné popis jinde v této encyklopedii.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto úprav registru (nebo podobné):
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ msqpdxvx
Přidanou hodnotu: " msqpdxrun "
s údaji: " g "
s údaji: " g "
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ extravideo \ CLSIDNastaví hodnotu: "(výchozí)"Vzhledem k objemu dat: "{6bf52a52-394a-11D3-B153-00c04f79faa6}"
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ msqpdxvxNastavuje hodnotu: "msqpdxpff"
Vzhledem k objemu dat: <randomly generované dopis nebo číslo> např. "k"
Vzhledem k objemu dat: <randomly generované dopis nebo číslo> např. "k"
Technické informace (analýza)
Trojan:Win32/Alureon.COje trojan, který stáhne a spustí libovolný soubor. Některé malware, pomocí detekčního s tímto jménem se také mohou šířit se do vyměnitelných jednotek.
Trojan:Win32/Alureon.CO může být instalován ostatních členů rodiny Win32/Alureon.
Instalace
Po spuštění Trojan:Win32/Alureon.COvytváří událost " \ \ TDKP "zajistit, že pouze jedna instance běží trojan kdykoliv.
Trojan:Win32/Alureon.CO uvádí následující úpravy v registru:
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ msqpdxvx
Přidanou hodnotu: " msqpdxrun "
s údaji: " g "
s údaji: " g "
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ extravideo \ CLSIDNastaví hodnotu: "(výchozí)"Vzhledem k objemu dat: "{6bf52a52-394a-11D3-B153-00c04f79faa6}"
Chcete-li podklíč: HKLM \ SOFTWARE \ Classes \ msqpdxvxNastavuje hodnotu: "msqpdxpff"
Vzhledem k objemu dat: <randomly generované dopis nebo číslo> např. "k"
Vzhledem k objemu dat: <randomly generované dopis nebo číslo> např. "k"
Trojan:Win32/Alureon.CO Vytváří také tyto 2 soubory pro své vlastní využití:
- % Temp% \ tmp "náhodné číslo nebo písmeno" . tmp
- % Temp% \ tmp "náhodné číslo nebo písmeno" . tmp
Se šíří ...
Vyjímatelné disky
Trojan:Win32/Alureon.COvstřikuje kód do <system folder> službě Spoolsv.exe , který pak plní šíření rutinu. Tento kód se pokouší kopírovatTrojan:Win32/Alureon.CO na všech dostupných discích jako <drive> \ resycled \ boot.com . To také vytváří autorun souboru - autorun.inf(zjištěný jako Trojan! Win32/Alureon INF ) - v kořenovém adresáři každého cíleného disku. Oba tyto soubory jsou skryté. Soubor autorun, <drive> \ autorun.inf , ukazuje na kopii Alureon.CO, <drive> \ resycled \ boot.com . Když je odnímatelné nebo síťový disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.
Užitečná
Ke stažení a vykonává libovolné soubory
Trojan:Win32/Alureon.COpřipojí ke vzdálenému počítači, aby se stáhnout a spouštět libovolné soubory. Ve volné přírodě,Trojan:Win32/Alureon.CObyl pozorován kontaktovat IP adresy 94.247.2.104 pro tento účel.
Žádné komentáře:
Okomentovat