Nume:TR/Keylogger.avk
Descoperit pe data de:29/11/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:112.008 Bytes
MD5:a3e928635256073ca0e5b90388ee6efc
Versiune VDF:7.00.01.23
Versiune IVDF:7.00.01.24 - Thursday, November 29, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Generic Keylogger.g trojan
   •  Kaspersky: Trojan.Win32.VB.avk
   •  F-Secure: Trojan.Win32.VB.avk
   •  Panda: Trj/Keylogger.BN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh



Este creat fisierul:

– C:\s5d46a.fjg Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Noua valoare:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   Noua valoare:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Noua valoare:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Noua valoare:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

 Backdoor Servere contactate:
Urmatorul:
   • http://www.e223pg.awardspace.co.uk/**********

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Spatiu liber pe disc
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PePetite 2.2

Description inserted by Monica Ghitun on Thursday, November 29, 2007
Description updated by Monica Ghitun on Friday, November 30, 2007

Back . . . .