Nume:ADSPY/Boran.O.2
Descoperit pe data de:05/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:40.960 Bytes
MD5:1f4b04a85768205ae5452415dc843e3d
Versiune VDF:6.35.01.196
Versiune IVDF:6.35.01.200 - Friday, September 8, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Adware.Boran


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Modificari in registri
   • Profita de vulnerabilitatile softului

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.update.borlander.cn/updadini/**********
Fisierul este stocat pe hard disc la: %directorul de activare malware%\updadini.ini In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://www.update.borlander.cn/updstd/**********
Fisierul este stocat pe hard disc la: %directorul de activare malware%\updstdex.ini In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • http://www.update.borlander.cn/updstd/**********
Fisierul este stocat pe hard disc la: %directorul de activare malware%\updstdup.ini In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%SYSDIR%\stdup.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%directorul de activare malware%\%fisier executat%"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

– [HKCR\Ad.AxObj]
   • @="stdup"

– [HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

– [HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

– [HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.1.8"
   • "regup"="01c6e9b74e600380"
   • "pid"="30574EFA8247A1B90B30060F409F5F5B"
   • "reg"="30574EFA8247A1B90B30060F409F5F5B"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %directorul de activare malware%\%fisier executat%,Uninstall"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

– [HKLM\SOFTWARE\Stdup\up]
   • "3.2.1.8"="1"

 Backdoor Servere contactate:
Urmatoarele:
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

Odata conectat, descarca o alta lista de servere.
Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Timpul de cand malware-ul a fost lansat in executie


Posibilitati de control la distanta:
    • Vizitarea unui website

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Monica Ghitun on Friday, October 6, 2006
Description updated by Andrei Ivanes on Friday, October 27, 2006

Back . . . .