Nume:TR/PSW.Lmir.aae.3
Descoperit pe data de:08/07/2005
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:19.929 Bytes
MD5:0247bbc64162b9981ad008a59891d3da
Versiune VDF:6.31.0.168

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Trojan
   •  Kaspersky: Trojan-PSW.Win32.Lmir.aae
   •  Bitdefender: Trojan.Pws.Lmir.AAE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\yklgvh.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\SchedLgU.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     
     [ ***** Most recent entry is above this line ***** ]
     
     

– %SYSDIR%\Yklgvh.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSWTR.PSW.aae.2

– %SYSDIR%\drivers\yklgvh.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.K.1




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • kissyou8**********.com/pcshare.txt
Fisierul este stocat pe hard disc la: %temporary internet files%\pcshare.txt Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • pcshare.txt
Fisierul este stocat pe hard disc la: %temporary internet files%\dlfile.asp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "DisplayName"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Enum]
   • "0"="Root\\LEGACY_YKLGVH\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000]
   • "Service"="Yklgvh"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "ImagePath"=\??\%SYSDIR%\drivers\Yklgvh.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath"=%SYSDIR%\Yklgvh.exe -k netsvcs

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • Internet Explorer


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Sergiu Oprea am Mittwoch, 3. August 2005
Die Beschreibung wurde geändert von Sergiu Oprea am Freitag, 30. September 2005

zurück . . . .