Nume:TR/PSW.Small.bs
Descoperit pe data de:08/01/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:19.240 Bytes
MD5:73dc2446341699857aaf39489508f7d7
Versiune VDF:6.36.00.023
Versiune IVDF:6.36.00.033

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: FormSpy
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Mal/Behav-044
   •  Grisoft: PSW.Generic2.REJ
   •  Eset: Win32/PSW.Small.NAD
   •  Bitdefender: Generic.Malware.SBg.56DBD99F


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%directorul de activare malware%\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\hide_evr2.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.bs.SYS

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%numar hexazecimal%
   • "k2"=%numar hexazecimal%



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

 Backdoor Deschide portul

– %WINDIR%\9129837.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Parole retinute
    • Statusul actual al malware-ului
    • Port deschis
    • Informatiile colectate, descrise in sectiunea
    • Utilizator
    • adresele vizitate


Posibilitati de control la distanta:
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii de logare

 Alte informatii Conexiune internet:

Formuleaza cereri pentru urmatoarele nume:
   • mc-in-f99.google.com
   • ip-147-107.rbnnetwork.com

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul proces

– Urmatoarele fisiere:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– Urmatoarea intrare in registru:
   • ttool


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Monica Ghitun on Monday, January 8, 2007
Description updated by Monica Ghitun on Tuesday, January 9, 2007

Back . . . .