BKDR_CARETO.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

它窃取系统信息。

它在执行后自行删除。

新病毒详细信息

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

安装

它植入下列文件/组件：

• %System%\awcodc32.dll - detected as BKDR_CARETO.A
• %System%\awdcxc32.dll - detected as BKDR_CARETO.A
• %System%\drivers\scsimap.sys - detected as BKDR_CARETO.A
• %System%\jpeg1x32.dll - detected as BKDR_CARETO.A
• %System%\mfcn30.dll - detected as BKDR_CARETO.A
• %System%\vchw9x.dll - detected as BKDR_CARETO.A
• %User Temp%\___{random number}.tmp - detected as BKDR_CARETO.A

(注意: %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。. %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它植入下列非恶意文件：

• %System%\bootfont.bin

(注意: %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

• 36A900E5-0AE5-4ca6-84B4-45A05B42E705}_262144_124160

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_LOCAL_MACHINE\CurrentControlSet\Services\
scsimap
ImagePath = "%System%\DRIVERS\scsimap.sys"

它通过添加下列注册表键值注册为系统服务，确保在每次系统启动时自动执行:

HKEY_LOCAL_MACHINE\CurrentControlSet\Services\
scsimap

后门例程

它将下列信息发送到其命令和控制 (C&C) 服务器:

• http://www.{BLOCKED}nt.com/server/ssl.htm
• https://{BLOCKED}t.{BLOCKED}et.nu/cgi-bin/index.cgi
• https://{BLOCKED}.{BLOCKED}.233.15/cgi-bin/index.cgi

截至撰写本文时，上述服务器当前是不可访问的。

信息窃取

它窃取系统信息。

其他详细信息

它在执行后自行删除。