Nume:TR/PSW.Magania.avwf
Descoperit pe data de:04/03/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:108.412 Bytes
MD5:518db8564203cc90b7a461d71c42dd09
Versiune IVDF:7.01.02.119 - Mittwoch, 4. März 2009

 General Metode de raspandire:
   • Discuri de retea mapate
   • Messenger


Alias:
   •  Symantec: Trojan.Dropper
   •  Sophos: W32/AutoRun-AAT
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\ierdfgh.exe
   • %unitate disc%\9.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Poate afecta urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\pytdfse%numar%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Autorun.845034

– %SYSDIR%\drivers\klif.sys Detectat ca: TR/Klif.3520

%unitate disc%\6fq.com
– %TEMPDIR%\4tddfwq0.dll
– %TEMPDIR%\xvassdf.exe



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://vfbgt.com/xrbv/**********


– Adresa este urmatoarea:
   • http://sfdght.com/xrbv/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
     "DisplayName"="AVPsys"



Valorile urmatoarei chei sunt sterse din registrii sistemului:



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum]
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   • 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
   • 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
   • 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
   • 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   Noua valoare:
   • "enabled"=dword:00000000

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger


Raspandire prin fisier
Trimite un fisier cu unul din urmatoarele nume:
   • YahooWidgetEngine.exe
   • YPagerj.exe

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\pytdfse%numar%.dll


– Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:
    • Ascuns de Windows API
    • Ascuns de Interrupt Descriptor Table (IDT)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 6. Juli 2009
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 19. August 2009

zurück . . . .