Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Září 17, 2010 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Září 17, 2010 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Shrnutí
Win64/Koobface je vícekomponentní rodina malware používané ke kompromisu stroje a nasměrovat je různými způsoby na útočníka vůli. To by mohlo zahrnovat použití postižené stroj distribuovat další malware, vytvářet "platba za proklik za reklamní příjmy, krást citlivá data, rozbíjet captchas, a rozvrátit postiženého uživatele online zážitek. Jeho součástí jsou různé, ale zahrnují červa šíří využitím sociálních sítí jako je Facebook a MySpace.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto
- Displej z následujících zpráv:
Technické informace (analýza)
Win64/Koobface je vícekomponentní rodina malware používané ke kompromisu stroje a nasměrovat je různými způsoby na útočníka vůli. To by mohlo zahrnovat použití postižené stroj distribuovat další malware, vytvářet "platba za proklik za reklamní příjmy, krást citlivá data, rozbíjet captchas, a rozvrátit postiženého uživatele online zážitek. Jeho součástí jsou různé, ale zahrnují červa šíří využitím sociálních sítí jako je Facebook a MySpace.
Instalace
Pokud se tento červ je proveden, Win64/Koobface zkopíruje do složky Windows jako v následujících příkladech:
% Windir% \ fbtre6.exe
% windir% \ mstre5.exe
% windir% \ mstre5.exe
%windir%\bolivar19.exe
%windir%\bolivar31.exe
%windir%\bolivar30.exe
%windir%\ld01.exe
%windir%\che08.exe
%windir%\freddy35.exe
%windir%\bolivar31.exe
%windir%\bolivar30.exe
%windir%\ld01.exe
%windir%\che08.exe
%windir%\freddy35.exe
Červ může klesnout o vyčištění dávky skript také mají náhodný název souboru do kořenového adresáře na místním disku, jako v tomto příkladu:
c: \ 42123.bat
Červ může provést vyčištění dávkový skript pro odstranění červa původně spuštěn a odstranit sám. Registr je upraven tak, aby provedení klesla červ kopii při každém startu Windows.
Přidává hodnotu: systray
S údaji: "% windir% / < červ název souboru > "
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
V závislosti na variantě, jsou jiné hodnoty vytvořené místo, jako je "sysftray2" nebo "sysldtray".
Se šíří ...
MySpace a Facebook kontakty
Win64/Koobface vyhledávání v Internet Explorer výchozí složky pro sušenky cookie prohlížeče týkající se internetových stránek sociálních sítí, včetně následujících:
- facebook.com
- friendster.com
- hi5.com
- myspace.com
- bebo.com
V některých variantách Win64/KoobfacePokud červ zjistí, že žádná z těchto stránek je navštíví, může červ odstranit sám a může zobrazit následující zpráva pole:
Ve volné přírodě, může červ připojit k web 'zzzping.com' to stáhnout a spustit škodlivý software.
Červ se šíří zasláním zprávy obsahující hypertextový odkaz na kopie červa s přáteli nebo kontakty z infikovaného uživatele. Přátelé, které obdrží zprávu, může navštívit odkaz stáhnout červa a opakovat cyklus šíření ostatním.
Užitečná
Odstraňuje zvukové upozornění navigace
Některé varianty Win64/Koobfacemůže smazat podklíč registru, který odkazuje na navigaci zní jako "klapnutí" zvuk při navigaci z jednoho webu na druhý.Následující podklíč může být odstraněn červem:
HKCU \ Programy \ AppEvents \ Apps \ Explorer \ Navigace
Žádné komentáře:
Okomentovat