Stfw.RuTrojan.Webus.H
admin
🕛 06.07.2005, 03:05
Обнаружен 3 июля.Последнее обновление 4 июля.
Тип: троян.
Длина кода: 43 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
Технические детали:
Копирует себя как:
%Windir%SystemCSRSS.EXE
%HomeDrive%%HomePath%Application DataMicrosoftInternet ExplorerCSRSS.exe
Удаляет файл Autorun.inf.
Загружает и выполняет файл upd_0001.exe с сервера medabop.com.
Добавляет значения
".svchost" = "%Windir%SystemCSRSS.exe"
".svchost" = "%HomeDrive%%HomePath%Application DataMicrosoftInternet ExplorerCSRSS.exe" в реестр HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
значение "[PATH TO TROJAN]" = "[PATH TO TROJAN]:*:Enabled:Microsoft Update" в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplicationsList
Пытается удалить сервисы:
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv
Открывает порты, соединяясь с серверами:
web.metanap.com порт 1021
web.megaden.com порт 1088
members.medabon.com порт 1021
Ожидает команд удалённого нападающего.
securityresponse.symantec.com/avc