Nume:TR/Virtumonde.26730
Descoperit pe data de:02/04/2007
Tip:Troian
Subtip:Downloader
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:26730 Bytes
MD5:731396df61f1cedc2b70ab33ebb0c0b3
Versiune VDF:6.38.00.161
Versiune IVDF:6.38.00.165 - Tuesday, April 3, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 5 caractere aleatoare%.dll




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://89.188.16.15/ths/lo1.dll**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%sir de 5 caractere aleatoare%.dll In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%ora curenta%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%directorul de activare malware%\%fisier executat%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%numar hexazecimal%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %fisier executat%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%fisier executat%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000



Urmatoarele chei din registri sunt modificate:

Reduce setarile de securitate din Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Vechea valoare:
   • "1A10"=%setarile utilizatorului%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%setarile utilizatorului%
   Noua valoare:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%numar hexazecimal%

 Backdoor Servere contactate:
Urmatorul:
   • http://65.243.103.80/80/67247**********&t=%data curenta%**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Urmatoarele procese:
   • Explorer.exe
   • Winlogon.exe
   • %procese care au ferestre vizibile%


 Alte informatii Mutex:


Creeaza unul dintre Mutex-urile:
   • _ConsprMutx
   • awx_mutant

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Monica Ghitun on Thursday, April 19, 2007
Description updated by Monica Ghitun on Thursday, April 19, 2007

Back . . . .