Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/PCK.Krap.B.151
Descoperit pe data de:11/11/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:108.271 Bytes
MD5:12ae4642bb27acfcb725d1acefb901c9
Versiune IVDF:7.01.00.66 - marți, 11 noiembrie 2008

 General Alias:
   •  Symantec: Trojan.Packed.NsAnti
   •  Mcafee: Generic PWS.ak trojan !!!
   •  Kaspersky: Packed.Win32.Krap.b
   •  Panda: W32/Lineage.KDO
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.Packed.39103


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\whi.com
   • %SYSDIR%\kamsoft.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Poate afecta urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\yudald.bat (116812) Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Magania.carh.1

%SYSDIR%\gasretyw0.dll (85504) Detectat ca: TR/Crypt.ZPACK.Gen

%SYSDIR%\olhrwef.exe (116812) Detectat ca: TR/PSW.Magania.carh.1

%SYSDIR%\nmdfgds0.dll (75928) Detectat ca: TR/Crypt.ZPACK.Gen




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://zsde4.com/xmfx/**********


– Adresa este urmatoarea:
   • http://ghterwa.com/xmfx/**********

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Start"=dword:0x3
   • "Type"=dword:0x1
   • "ImagePath"="\??\%SYSDIR%\drivers\cdaudio.sys"
   • "DisplayName"="AVPsys"
   • "ErrorControl"=dword:0x1



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kamsoft"="%SYSDIR%\kamsoft.exe"
   • "cdoosoft"="%SYSDIR%\olhrwef.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="mcjhjk.v"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x0

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x2
   • "ShowSuperHidden"=dword:0x0

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\gasretyw0.dll

    Numele procesului:
   • %toate procesele active%



–  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\nmdfgds0.dll

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Thursday, October 15, 2009
Description updated by Andrei Ivanes on Friday, October 16, 2009

Back . . . .