Nume:BDS/WinO.A
Descoperit pe data de:09/03/2010
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:63.639 Bytes
MD5:463f93ee63271f385e100aafb53f7790
Versiune IVDF:7.10.05.08 - Dienstag, 9. März 2010

 General Alias:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %TEMPDIR%\fig24.tmp



Sunt create fisierele:

– %TEMPDIR%\fig24.bat
– %SYSDIR%\win%sir de caractere%32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Gen

– %TEMPDIR%\fig24.tmp Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Gen

– "%directorul de activare malware%\%executed file.bat%"



Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=%sir de caractere%&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=%sir de caractere%&cnt=ENU&q=1C74F9




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • cmd /c start iexplore -embedding


– Numele fisierului:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– Numele fisierului:
   • cmd /c "%TEMPDIR%\fig24.bat"


– Numele fisierului:
   • cmd /c "%directorul de activare malware%\%executed file.bat%"

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%sir de caractere%32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win%sir de caractere%32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Noua valoare:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   Noua valoare:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. April 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. April 2010

zurück . . . .