Nume:ADSPY/Virtumonde.B
Descoperit pe data de:14/06/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:47.629 Bytes
MD5:5b00c4a26bfb132b7c5b8692949d227b
Versiune VDF:6.35.00.23
Versiune IVDF:6.35.00.29 - Donnerstag, 15. Juni 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\%sir de 7 caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/Virtumonde.B

– %TEMPDIR%\removalfile.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%sir de 7 caractere aleatoare%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%sir de 7 caractere aleatoare%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Backdoor Servere contactate:
Urmatoarele:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\%sir de 7 caractere aleatoare%.dll

    Urmatoarele procese:
   • explorer.exe
   • WINLOGON.EXE


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere

Die Beschreibung wurde erstellt von Marius T. Nicolae am Mittwoch, 6. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 5. Dezember 2006

zurück . . . .