Encyklopedický vstup
Aktualizováno: 14.prosince 2011 | Zveřejněno: Nov 02, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 14.prosince 2011 | Zveřejněno: Nov 02, 2011 Aliasy
-
Trojan.Sirefef.K (BitDefender)
- Trojan.Win64.Agent.e (Kaspersky)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce původně vytvořeny: Definice: 1.115.1100.0 Vydáno: 02.11.2011 |
Shrnutí
Trojan:Win64/Sirefef.E je 64-bit uživatelského režimu součástí Win32/Sirefefrootkit. Je to součást zodpovědná za klepnutím na odkazy dodané vzdáleného útočníka. Odkazy jsou určeny souboru umístěného na vzdáleném serveru přistupovat pomocí tohoto Trojana.Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Následující změna registru: V podklíči:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb
Změní hodnotu: "Type"
Vzhledem k objemu dat: "1"
Technické informace (analýza)
Trojan:Win64/Sirefef.E je 64-bit uživatelského režimu součástí Win32/Sirefefrootkit. Je to součást zodpovědná za klepnutím na odkazy dodané vzdáleného útočníka. Odkazy jsou určeny souboru umístěného na vzdáleném serveru přistupovat pomocí tohoto Trojana.Win32/Sirefef je vícekomponentní malware, který mírní postiženého uživatele internetu zážitek tím, že upravuje výsledky vyhledávání.
Instalace
Trojan:Win64/Sirefef.E mohou být vytvořeny Win32/Sirefef rootkit montéři, jako Trojan:Win32/Sirefef.J a Backdoor:Win32/Smadow. Jeho 32-bitová verze je detekován jakoTrojan:Win32/Sirefef.P.
Následující složky označené jako "skrytý", mohou být také vytvořeny rootkit instalaci spolu s Trojan:Win64/Sirefef.E:
- %windir%\$NtUninstallKB<decimal číslo>
- %APPDATA%\<hexadecimal string>
Trojan:Win64/Sirefef.E mohou být přítomny jako soubor "click_shell.dll"V první složky vytvořené výše. Nicméně, pokud se uživatel pokusí získat přístup k těmto složkám, může rootkit ukončit proces přistupuje.
Rootkit montéři mohou také změnit hodnotu registru "Type"Na" 1 "pro následující Windows Služba podklíč, když Trojan:Win64/Sirefef.E je nainstalován:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb
Užitečná
Generuje kliknutí na určité webové stránky
Trojan:Win64/Sirefef.E generuje provoz na některých webových stránek bez vědomí uživatele. Je to tím, spuštěním následujícíhoHTTP GET dotaz:
GET /new/links.php?w=<ID>&n=0 HTTP/1.0
HOST: <název_serveru>.cn
HOST: <název_serveru>.cn
kde <ID> je identifikátor pro postiženého počítače a <název_serveru> je vzdálený server, jehož jméno se vypočítává na základě aktuální kalendářní datum.
Přístupný soubor "links.php"Obsahuje kód, který automaticky přesměruje prohlížeč na některých webových stránkách.
Žádné komentáře:
Okomentovat