Nume:TR/Drop.OnGa.AZ
Descoperit pe data de:02/03/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:107.295 Bytes
MD5:ff6b14d521a4c613754b47d754672d63
Versiune IVDF:7.01.02.103 - Montag, 2. März 2009

 General Metode de raspandire:
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Gammima.AG
   •  Sophos: W32/Autorun-AAP
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\ierdfgh.exe
   • %unitate disc%\y6.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Poate afecta urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\pytdfse%numar%.dll Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\drivers\klif.sys
– %TEMPDIR%\4tddfwq0.dll
– %TEMPDIR%\xvassdf.exe



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://vfbgt.com/xrbv/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://sfdght.com/xrbv/**********

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   Noua valoare:
   • "enabled"=dword:00000000

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\pytdfse%numar%.dll


– Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:
    • Ascuns de Windows API
    • Ascuns de Interrupt Descriptor Table (IDT)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 6. Juli 2009
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 18. August 2009

zurück . . . .