Nume:TR/Scar.bzst
Descoperit pe data de:02/05/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:80.982 Bytes
MD5:ca6eaac619a5538bc88969426cce35ea
Versiune IVDF:7.10.07.17 - Sonntag, 2. Mai 2010

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Bitdefender: Trojan.Agent.WDCR
   •  Panda: Trj/Scar.J
   •  Eset: Win32/AutoRun.IRCBot.EM


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\Application Data\svchosts.exe
   • %unitate disc%\SYSTEM.EXE
   • %HOME%\Application Data\rssms32.exe



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %directorul de activare malware%\%fisier executat%


– Numele fisierului:
   • "%HOME%\Application Data\svchosts.exe"

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Noua valoare:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Noua valoare:
   • "winlogon"="%HOME%\Application Data\svchosts.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tox**********.info
Port: 45351
Canal: #RogUe#
Nick: {USA}{XP}{00}%numar%

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .