• Win32/Sirefef.EV

  • 0
Автор
КатегорияТроян
Дата обнаружения18.04.2012
Размер169472
Другие названия
ZeroAccess.hn.trojan (McAfee)
Trojan:Win32/Sirefef.P (Microsoft)

Краткое описание

Данный троян работает как backdoor. Им можно управлять дистанционно

Как устанавливается

При запуске троян создает следующие файлы:

  • %recyclebin%\­%userSID%\­%variable%\­n (47616 B)
  • %recyclebin%\­%userSID%\­%variable%\­@ (2048 B)

Троян создает следующие папки:

  • %recyclebin%\­%userSID%\­%variable%\­U
  • %recyclebin%\­%userSID%\­%variable%\­L

Вместо %variable% используется строка с разным содержанием

Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:

  • [HKEY_CURRENT_USER\­Software\­Classes\­clsid\­{fbeb8a05-beee-4442-804e-409d6c4515e9}\­InprocServer32]
    • "ThreadingModel" = "Both"
    • “(Default)" = "%recyclebin%\­%userSID%\­%variable%\­n."
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\­InprocServer32]
    • “(Default)" = "%recyclebin%\­S-1-5-18\­%variable%\­n."
    • "ThreadingModel" = "Free"
  • "ThreadingModel" = "Both"
  • “(Default)" = "%recyclebin%\­%userSID%\­%variable%\­n."
  • “(Default)" = "%recyclebin%\­S-1-5-18\­%variable%\­n."
  • "ThreadingModel" = "Free"

Следующие записи реестра будут удалены:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­explorer\­ShellServiceObjects\­{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­explorer\­ShellServiceObjects\­{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "Windows Defender"
  • "Windows Defender"

Троян загружает и вставляет

  • explorer.exe
  • services.exe

После завершения установки троян удаляет исходный исполняемый файл.

Дополнительная информация

Данный троян работает как backdoor. Им можно управлять дистанционно

Троян открывает 16464 порт и подключается к собственной peer-to-peer сети.

Троян содержит список (256) IP-адреса.

Поддерживается выполнение следующих операций:

  • download files from a remote computer and/or the Internet
  • run executable files
  • terminate running processes
  • open ports

Следующие программы прекращаются:

  • wscntfy.exe
  • MSASCui.exe
  • MpCmdRun.exe
  • NisSrv.exe
  • msseces.exe

Отключаются следующие сервисы:

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *