Nume:TR/Xorer.174009
Descoperit pe data de:17/03/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:94.208 Bytes
MD5:bfe68898bb94d7068582c642bfe0bc5c
Versiune VDF:7.00.03.40

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Pagipef.I!inf
   •  Mcafee: W32/Xorer
   •  Kaspersky: Virus.Win32.Xorer.ew
   •  TrendMicro: PE_PAGIPEF.CA-O
   •  F-Secure: Virus.Win32.Xorer.ew
   •  Sophos: Mal/Xorer-A
   •  Panda: W32/Pagepif.G.worm
   •  VirusBuster: Win32.Xorer.O
   •  Eset: Win32/Xorer
   •  Bitdefender: Trojan.Xorer.T


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\com\lsass.exe
   • %SYSDIR%\%random character string from 0 to 9%.log
   • %unitate disc%\pagefile.pif



Sunt create fisierele:

%unitate disc%\AUTORUN.INF Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\com\smss.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Xorer.DR.40960

– %SYSDIR%\com\netcfg.000 Detectat ca: TR/Xorer.A.1

– %SYSDIR%\com\netcfg.dll Detectat ca: TR/Xorer.A.1

%unitate disc%\NetApi000.sys Detectat ca: RKIT/Xorer.A.10

– %SYSDIR%\dnsq.dll Detectat ca: TR/Spy.Gen




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://w.c0m**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului  Se sterg urmatoarele chei din registri, inclusiv toate valorile si cheile subordnate:
   • [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Noua valoare:
   • Type="radio"

Formatul orei:
Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • ShowSuperHidden = dword:00000000

 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • antivir; thunderrt6main; mcafee; facelesswndproc; bitdefender; ewido;
      monitor; mcagent; escan; firewall; dr.web; metapad; ieframe; diskgen;
      dummycom; xorer


 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\dnsq.dll

    Numele procesului:
   • %toate procesele active%


 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • www.baidu.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Alexandru Dinu on Thursday, July 31, 2008
Description updated by Andrei Ivanes on Tuesday, September 16, 2008

Back . . . .