Информационные технологииStfw.Ru 🔍

Trojan.Webus.H

admin
🕛 06.07.2005, 03:05
Обнаружен 3 июля.
Последнее обновление 4 июля.
Тип: троян.
Длина кода: 43 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Технические детали:
Копирует себя как:
%Windir%SystemCSRSS.EXE
%HomeDrive%%HomePath%Application DataMicrosoftInternet ExplorerCSRSS.exe

Удаляет файл Autorun.inf.
Загружает и выполняет файл upd_0001.exe с сервера medabop.com.
Добавляет значения
".svchost" = "%Windir%SystemCSRSS.exe"
".svchost" = "%HomeDrive%%HomePath%Application DataMicrosoftInternet ExplorerCSRSS.exe" в реестр HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
значение "[PATH TO TROJAN]" = "[PATH TO TROJAN]:*:Enabled:Microsoft Update" в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfileAuthorizedApplicationsList

Пытается удалить сервисы:
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv

Открывает порты, соединяясь с серверами:
web.metanap.com порт 1021
web.megaden.com порт 1088
members.medabon.com порт 1021

Ожидает команд удалённого нападающего.

securityresponse.symantec.com/avc

Новости безопасности   Теги:

Читать IT-новости в Telegram

Читайте также:

Backdoor.Trojan

Trojan.Havedo

Trojan-PSW.Win32. LdPinch.bik

Информационные технологии
Мы в соцсетях ✉