Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 16, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Dec 16, 2010 Aliasy
-
Trojan-Spy.Win32.SpyEyes.czv (Kaspersky)
- TrojanSpy.SpyEyes!ONex3HnVi08 (VirusBuster)
- Worm/Nusump.A.10 (Avira)
- BackDoor.Spy.676 (Dr.Web)
- Trojan-Spy.Win32.SpyEyes (Ikarus)
- Mal/Spyeye-B (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.470.0 Vydáno: 23.května 2012 | Detekce původně vytvořeny: Definice: 1.87.1920.0 Vydáno: 14.srpen 2010 |
Shrnutí
Worm:Win32/Nusumpje červ, který se šíří přes Windows Live Messenger a sítí a vyměnitelné jednotky. Obsahuje omezenou backdoor funkce, které mu umožnily provést určité akce v příslušném počítači.
Příznaky
Systémové změny
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
Worm:Win32/Nusumpje červ, který se šíří přes Windows Live Messenger a sítí a vyměnitelné jednotky. Obsahuje omezenou backdoor funkce, které mu umožnily provést určité akce v příslušném počítači.
Instalace
Po spuštění Worm:Win32/Nusumpzkopíruje do %% Temp adresáře pomocí proměnné název souboru, například smgx1mgx.exe . Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Nastavuje hodnotu: "Windows"
Vzhledem k objemu dat: "% TEMP% \ smgx1mgx.exe"
Vzhledem k objemu dat: "% TEMP% \ smgx1mgx.exe"
V podklíč: HKLM \ Software \ Microsoft \ Active Setup \ nainstalované součásti \ {36a5a0db-297e-fde2-0501-060104070800}
Nastavuje hodnotu: StubPath
s údaji: "% TEMP% \ smgx1mgx.exe"
s údaji: "% TEMP% \ smgx1mgx.exe"
To také vytvoří následující mutex, aby zajistily, že pouze jedna instance běží samo o sobě:
- X00X
Malware používá kód injekci brání odhalení a odstranění. KdyWorm:Win32/Nusump spustí, může aplikovat kód do běžících procesů, včetně níže, například:
- explorer.exe
Se šíří ...
Instant messaging programy
Worm:Win32/Nusumpodešle zprávu do všech uživatelských kontakty na Windows Live Messenger. Zpráva obsahuje odkaz na kopii malwaru, který je umístěn na vzdáleném serveru.
Síťové disky a vyměnitelná
Worm:Win32/Nusumpšíří přes namapované síťové jednotky a vyměnitelné jednotky. Klesne kopii sebe sama ve všech zapisovatelné síťových disků a výměnných disků. V vyměnitelných jednotek, ale také klesne soubor s názvem " autorun.inf ", který zajišťuje, že jeho kopie se spouští při každém disk přistupovat.
Užitečná
Kontakty vzdálený hostitel / umožňuje backdoor přístup a kontrolu
Worm:Win32/NusumpKontakty vzdáleného hostitele, aby ohlásily novou infekci. Odešle následující informace:
- Název počítače
- Název uživatelského účtu (například " správce ")
- Verze operačního systému
- Malware číslo verze
Worm:Win32/Nusump byl pozorován kontaktovat následující vzdálené počítače pomocí portu 80:
- UPD-first.com
- freeappz.biz
- update-reg.com
- update-softing.com
Po obdržení informací zaslaných pokud jde o nové infekce, může vzdálený hostitel poslat zpět libovolný počet těchto příkazů pro Nusump provádět:
- Stáhnout a spustit libovolný soubor
- Spuštění nebo zastavení šíření prostřednictvím vyměnitelných jednotek
- Krást přihlašovací údaje a kontakty na MSN Live Messenger
- Aktualizuje
- Ukrást informace o uživatelské historie prohlížení webových stránek
- Spuštění nebo zastavení šíření prostřednictvím instant messaging
- Krást přihlašovací údaje uložené z webových prohlížečů
- Zkontrolujte, zda má uživatel Windows Live účet, a pokud ano, použít k odesílání e-mailových zpráv
- Přesměrovat uživatele prohlížeče na konkrétním místě
- Vstříkněte kód do webového prohlížeče ukrást data z formuláře
- Upload souborů na vzdálený počítač pomocí FTP (File Transfer Protocol)
Žádné komentáře:
Okomentovat