Nume:W32/Xpaj.B
Descoperit pe data de:16/12/2009
Tip:File Infector
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~145.000 Bytes
Versiune IVDF:7.09.01.114

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Xpaj.B
   •  Mcafee: W32/Xpaj
   •  Eset: Win32/Goblin.B.Gen
   •  Bitdefender: Win32.XPaj.C


Sistem de operare:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Infecteaza fisiere

 Fisiere Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\%numar hexazecimal%.tmp
Aceasta este versiunea originala a fisierului inainte de infectie.
– %WINDIR%\%sir de 8 caractere aleatoare%.tmp

 Infectie de fisiere Tip de infector:

Embedded - Virusul isi insereaza codul malitios in unul sau mai multe locuri in interiorul fisierului infectat.

Cu defecte - Fisierele pot fi infectate incomplet sau in mod gresit. Din cauza unor greseli din programul virusului doar o parte a codului malitios este prezent in fisierele infectate si acestea nu se mai pot replica. In unele cazuri fisierele infectate sunt nefunctionale.


Camuflaj:
 EPO (Entry Point Obscuring) - Entry Point-ul fisierului infectat ramane acelasi. Virusul modifica codul programului pentru a redirecta executia catre codul malitios.


Evitarea detectiei:

Polimorfism - Intregul cod viral se schimba la fiecare infectie. Virusul contine un motor polimorfic.


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 145.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa calea exacta:
   • *.exe
   • *.scr
   • *.dll
   • *.sys

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Backdoor Servere contactate:

   • %combinatie de caractere aleatoare%.com/up.**********

Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • www.gracefullsystemupdate.com
   • microsoft.com
   • %combinatie de caractere aleatoare%.com

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 16. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 16. Februar 2010

zurück . . . .