Összefoglaló
A Trojan.Tsyrval egy trójai, amely a fertőzött gépről rendszerinformációkat küld a támadóknak.
Leírás
A trójai egy fertőzött dokumentum által kerülhet a gépre, amely valamely sérülékenységet használ ki.
A trójai futásakor a következő fájlokat és registry bejegyzéseket hozza létre:
- %Temp%[SIX RANDOM DIGITS]
- %AllUsersProfile%Application DataIntelbuuu.dat
- %AllUsersProfile%Application DataIntelDataDtl.dat
- %AllUsersProfile%Application DataIntelDataglp.uin
- %AllUsersProfile%Application DataIntelResN32.dat
- %AllUsersProfile%Application DataIntelResN32.dll
- %AllUsersProfile%Application DataIntelrundll32.exe
- %AllUsersProfile%Application DataIntel~1
- %AllUsersProfile%Application DataIntel~y.dll
- %AllUsersProfile%DocumentsMy DocumentDtl.dat
- %AllUsersProfile%DocumentsMy Documentglp.uin
- %AllUsersProfile%DocumentsMy Documentupdatedonhi.dat
- %AllUsersProfile%DocumentsMy Documentupdatesleptr.dat
- %AllUsersProfile%DocumentsMy Documentupdatestage.dat
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = 0x00000001
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%AllUsersProfile%APPLIC~1IntelResN32.dll”
A következő domain-ekbe küld rendszerinformációt:
- tsrvall.microsoft-centre.com
- tsrvall01.norton-update.com
Hivatkozások
Egyéb referencia: www.symantec.com