Nume:TR/PSW.Bedruger.2
Descoperit pe data de:27/06/2005
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:23.184 Bytes
MD5:b49d3526ce011d76063d8081333a9ef4
Versiune VDF:6.31.00.112

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SVCH0ST.EXE



Sterge copia initiala a virusului.



Este creat fisierul:

– Fisier inofensiv:
   • %SYSDIR%\mmdat.dat

– %SYSDIR%\ntdll32.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Agent.GD

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Urmatoarea cheie din registri este modificata:

– [HKCR\exefile\shell\open\command]
   Vechea valoare:
   • @="\"%1\" %*"
   Noua valoare:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • mimathief@mimathief.com


Catre:
Destinatarul mesajului este:
   • vicimax@163.com


Subiect:
Urmatorul:
   • %text in limba chineza%



Corpul email-ului:

 
Corpul email-ului este:

   • %text in limba chineza%: %informatiile sustrase%
     %URL vizitat%
     %text in limba chineza%: %informatiile sustrase%
     %text in limba chineza%: %informatiile sustrase%



Email-ul arata astfel:


 Email Server MX:
Nu foloseste serverul MX implicit.
Se poate conecta la serverul MX:
   • 163.com

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii legate de fereastra
    • Fereastra navigatorului Internet
    • Informatii de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\ntdll32.dll

    Numele procesului:
   • %toate procesele active%


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • MimaThief

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PEcompact

Description inserted by Gabriel Mustata on Friday, November 10, 2006
Description updated by Gabriel Mustata on Thursday, November 16, 2006

Back . . . .