Nume:TR/Inject.81409.BI
Descoperit pe data de:22/04/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:81.409 Bytes
MD5:b2dfa22025a1043e3a12837222f6753f
Versiune IVDF:7.10.06.171 - Donnerstag, 22. April 2010

 General Alias:
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\nvdis.exe



Este creat fisierul:

– %TEMPDIR%\google_cache112.tmp



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


– Numele fisierului:
   • taskkill /IM winlog.exe


– Numele fisierului:
   • taskkill /IM svchost.exe


– Numele fisierului:
   • taskkill /IM csrss.exe


– Numele fisierului:
   • taskkill /IM lsass.exe


– Numele fisierului:
   • "%TEMPDIR%\nvdis.exe"

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: rix.mes**********.su
Port: 1234
Canal: #l#
Nick: {NEW}[USA][XP-%versiune Windows%]%numar%

 Terminarea proceselor Lista cu procesele oprite:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. Juli 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. Juli 2010

zurück . . . .