опасно...вирусы идут
03-02-2006 02:12
к комментариям - к полной версии
- понравилось!
Это цитата сообщения gurme Оригинальное сообщение
Backdoor.Haxdoor.C
[ Новости :: Вирусы ]
Вирус первой категории
Обнаружен: 21 октября 2004 года
Последнее обновление: 22 октября 2004
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Признаки:
1.cоздает следующие файлы:
%System%vdt_16.exe
%System%i.a3d
%System%draw32.dll
%System%vm.dll
%System%vdnt32.sys
%System%hm.sys
%System%memlow.sys
%System%wd.sys
%System%p2.ini
%Windir%dt163.dt
2.запускает %System%vdt_16.exe как скрытый процесс.
3.добавляет в реестр ключи:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvdnt32
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_VDNT32
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmemlow
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_MEMLOW
4.добавляет значение "Disable TrayIcon" = 1 в ветку реестра:
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters
5.добавляет значения "Impersonate" = "[1236477522472955044]"
"StackSize" = "21:10" в ветку реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
6.модифицирует значение "EnforceWriteProtect" = "0" в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
7.добавляет значение "hws" = "0x428" в
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersion
8.модифицирует значения
HKEY_LOCAL_MACHINESystemCurrentControlSetControlMPRServicesTestService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydraw32
9.пытается удалить значения
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun"secboot"
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
SharedAccess"start"
10.открывает TCP порты 16661, 55168,18916 и ждет команд.
11.пытается скопировать файл паролей SAM как файл с именем SLL.
Информация предоставлена: Symantec Security Response
Перевод:ext3
Специально для HackZona.ru
Автор оригинальной статьи: Candid Wueest
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.c.html
/было скопировано незаконно с сайта http://www.hackzona.ru/
вверх^
к полной версии
понравилось!
в evernote
Это цитата сообщения gurme Оригинальное сообщение
Backdoor.Haxdoor.C
[ Новости :: Вирусы ]
Вирус первой категории
Обнаружен: 21 октября 2004 года
Последнее обновление: 22 октября 2004
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Признаки:
1.cоздает следующие файлы:
%System%vdt_16.exe
%System%i.a3d
%System%draw32.dll
%System%vm.dll
%System%vdnt32.sys
%System%hm.sys
%System%memlow.sys
%System%wd.sys
%System%p2.ini
%Windir%dt163.dt
2.запускает %System%vdt_16.exe как скрытый процесс.
3.добавляет в реестр ключи:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvdnt32
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_VDNT32
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmemlow
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_MEMLOW
4.добавляет значение "Disable TrayIcon" = 1 в ветку реестра:
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters
5.добавляет значения "Impersonate" = "[1236477522472955044]"
"StackSize" = "21:10" в ветку реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
6.модифицирует значение "EnforceWriteProtect" = "0" в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
7.добавляет значение "hws" = "0x428" в
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersion
8.модифицирует значения
HKEY_LOCAL_MACHINESystemCurrentControlSetControlMPRServicesTestService
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydraw32
9.пытается удалить значения
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun"secboot"
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
SharedAccess"start"
10.открывает TCP порты 16661, 55168,18916 и ждет команд.
11.пытается скопировать файл паролей SAM как файл с именем SLL.
Информация предоставлена: Symantec Security Response
Перевод:ext3
Специально для HackZona.ru
Автор оригинальной статьи: Candid Wueest
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.c.html
/было скопировано незаконно с сайта http://www.hackzona.ru/
Вы сейчас не можете прокомментировать это сообщение.
Дневник опасно...вирусы идут | Чёрный_нарцисс - Сумерки идолов |
Лента друзей Чёрный_нарцисс
/ Полная версия
Добавить в друзья
Страницы:
раньше»