Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Worm.Win32.Radminer.d

Worm.Win32.Radminer.d

Время детектирования	05 июн 2010 11:45 MSK
Время выпуска обновления	05 июн 2010 18:12 MSK

Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.

Технические детали

Имеет размер 331264 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\svcset.reg
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\svchost.exe (детектируется антивирусом Касперского как not-a-virus:RemoteAdmin.Win32.RAdmin.20)
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\AdmDll.dll
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\raddrv.dll
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\svcset.bat

Вредоносная активность

Пытается найти файлы на компьютере пользователя по следующим маскам:

05.*
строка содержит нечитаемые символы
Mcy.*

Прочие действия

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ] "Shell" = "explorer.exe C:\:services.exe"

Описание:
Определяет программу, которая будет использоваться в качестве пользовательского интерфейса к ОС Windows. Может использоваться вредоносными программами для обеспечения своего автозапуска при загрузке ОС Windows

Удаляет следующие файлы на зараженном компьютере:

<путь к исходной программе><файл исходной программы>

Печать

Закладки

Вредоносные программы

Вирусы и черви

Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).

Другие названия

Worm.Win32.Radminer.d («Лаборатория Касперского») также известен как:

Mal/Behav-106 (Sophos)
Trojan:Win32/Dynamer!dtc (MS(OneCare))
Trojan.Radmin.13 (DrWeb)
Win32/Radmin.B trojan (Nod32)
Dropped:Trojan.Generic.5475307 (BitDef7)
FILE_BROKEN (VirusBuster)
RAR archive is corrupted (AVAST)
Win32:Trojan-gen (AVAST)
not-a-virus:RemoteAdmin.Win32.RAdmin.20 (Ikarus)
RemoteAdmin.BZD (AVG)
Malformed container violation (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
Mal_OtorunN (TrendMicro)
FILE_BROKEN (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com