Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Hacktool.Tcpz.A
Descoperit pe data de:22/04/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:995.328 Bytes
MD5:3911f7a8d09c467dbf3a05f73f0b8c7d
Versiune IVDF:7.01.03.91 - miercuri, 22 aprilie 2009

 General Alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svhost.exe



Este creat fisierul:

%SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

[HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Urmatoarele chei sunt adaugate in registrii sistemului:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-007 (Unchecked Buffer in Windows Component)
 MS04-045 (Vulnerabilitate in WINS)
MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 7.j3h**********.net
Port: 57
Parola serverului: h4xg4ng
Canal: #cunt
Nick: [00-USA-XP-%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Monday, November 30, 2009
Description updated by Petre Galan on Monday, November 30, 2009

Back . . . .