Nume:TR/PSW.Small.BS.2
Descoperit pe data de:12/09/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:12.592 Bytes
MD5:978ded8c7055e4c5e650600D2fcc0C3f
Versiune VDF:6.35.01.216
Versiune IVDF:6.35.01.220 - Wednesday, September 13, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\hide_evr2.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.BS.3

%directorul de activare malware%\a.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%combinatie de caractere aleatoare%
   • "k2"=%combinatie de caractere aleatoare%

 Backdoor Deschide portul
port UDP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii legate de fereastra
    • Fereastra navigatorului Internet

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces
– Propriile chei de registru


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Marius T. Nicolae on Friday, September 22, 2006
Description updated by Andrei Ivanes on Thursday, October 19, 2006

Back . . . .