Nume:TR/Drop.Decay.atv
Descoperit pe data de:23/10/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:70.656 Bytes
MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Versiune IVDF:7.01.06.142 - Freitag, 23. Oktober 2009

 General Metoda de raspandire:
• Functia autorun


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\conmsyrtl.exe
   • %unitate disc%\driver\usb\usb3.EXE



Sunt create fisierele:

%unitate disc%\driver\usb\Desktop.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%directorul de activare malware%\%fisier executat%"="%directorul de activare malware%\%fisier executat%:*:Enabled:Sistema de Comm"

 P2P     Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Daca reuseste, sunt create urmatoarele fisiere:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Aceste fişiere sunt copii ale malware-ului.

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– MSN Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ns3.metr**********.com
Port: 6567
Parola serverului: pr1v4d0onl1n3r
Canal: #delawich#
Nick: [SH|USA|00|P|%numar%]
Parola: c1rc0s0leil


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • Se actualizeaza singur
    • Vizitarea unui website

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 3. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. Februar 2010

zurück . . . .