Троян win32sirefef-ev описание | Бесплатная защита

Автор
Категория	Троян
Дата обнаружения	18.04.2012
Размер	169472
Другие названия
	ZeroAccess.hn.trojan (McAfee)
	Trojan:Win32/Sirefef.P (Microsoft)

Данный троян работает как backdoor. Им можно управлять дистанционно

При запуске троян создает следующие файлы:

Троян создает следующие папки:

Вместо %variable% используется строка с разным содержанием

Для того, что бы стартовать с каждым запуском системы, троян прописывается в следующих разделах реестра:

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32]
- "ThreadingModel" = "Both"
- “(Default)" = "%recyclebin%\%userSID%\%variable%\n."
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
- “(Default)" = "%recyclebin%\S-1-5-18\%variable%\n."
- "ThreadingModel" = "Free"
"ThreadingModel" = "Both"
“(Default)" = "%recyclebin%\%userSID%\%variable%\n."
“(Default)" = "%recyclebin%\S-1-5-18\%variable%\n."
"ThreadingModel" = "Free"

Следующие записи реестра будут удалены:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- "Windows Defender"
"Windows Defender"

Троян загружает и вставляет

После завершения установки троян удаляет исходный исполняемый файл.

Данный троян работает как backdoor. Им можно управлять дистанционно

Троян открывает 16464 порт и подключается к собственной peer-to-peer сети.

Троян содержит список (256) IP-адреса.

Поддерживается выполнение следующих операций:

Следующие программы прекращаются:

Отключаются следующие сервисы:

Показать меньше

Win32/Sirefef.EV