Nume:TR/PSW.Magania.aul
Descoperit pe data de:06/02/2009
Tip:Aplicatie
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:106.952 Bytes
MD5:26ed45d881869e9543441442e001e3cb
Versiune IVDF:7.01.01.239 - Freitag, 6. Februar 2009

 General Alias:
   •  Symantec: Infostealer.Gampass
   •  Mcafee: Generic PWS.ak trojan !!!
   •  Kaspersky: Trojan-Dropper.Win32.Agent.ahyp
   •  Sophos: Troj/Agent-JBE
   •  Panda: W32/Lineage.KYR
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnlineGames.KBPP


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\gxul.com
   • %SYSDIR%\uret463.exe



Suprascrie un fisier.
– %SYSDIR%\drivers\cdaudio.sys



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\lhgjyit0.dll (129536) Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Krap.399349




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://dsews.com/xjj/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://iytgfvcxs.com/xjj/**********

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Start"=dword:0x3
   • "Type"=dword:0x1
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x1



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dorfgwe"="%SYSDIR%\uret463.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="eftsdr.h"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x2
   • "ShowSuperHidden"=dword:0x0

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\lhgjyit0.dll

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 19. Oktober 2009
Die Beschreibung wurde geändert von Petre Galan am Montag, 19. Oktober 2009

zurück . . . .