Nume:TR/PSW.Small.BS.3
Descoperit pe data de:12/09/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:24.236 Bytes
MD5:782aa60074ea0620b2c974bf9f17507a
Versiune VDF:6.35.01.216
Versiune IVDF:6.35.01.220 - Wednesday, September 13, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Spy-Agent.bg


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %WINDIR%\hide_evr2.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.BS.3

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %numar hexazecimal%
   • k2 = %numar hexazecimal%



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 4

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Security Center

 Backdoor Deschide portul

– %WINDIR%\9129837.exe port TCP aleator pentru a functiona ca server proxy Socks 5,


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Parole retinute
    • Port deschis
    • Informatiile colectate, descrise in sectiunea


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul proces

– Urmatoarele fisiere:
   • 9129837.exe
   • hide_evr2.sys

– Urmatoarea intrare in registru:
   • ttool


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Wednesday, September 27, 2006
Description updated by Andrei Gherman on Wednesday, September 27, 2006

Back . . . .