Nume:TR/Vilsel.swd
Descoperit pe data de:15/02/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:34.308 Bytes
MD5:98d00c91854a13f839b1b923961520f8
Versiune IVDF:7.10.04.59 - Monday, February 15, 2010

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Sophos: Mal/EncPk-ND
   •  Panda: Trj/Vilsel.U
   •  Eset: Win32/AutoRun.FakeAlert.DU
   •  Bitdefender: Trojan.Zbot.HNM


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\autorun.exe
   • %SYSDIR%\logon.exe



Suprascrie un fisier.
– %SYSDIR%\drivers\aec.sys



Sterge copia initiala a virusului.



Sterge urmatoarele fisiere:
   • %TEMPDIR%\rdl3.tmp.exe
   • %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
   • %TEMPDIR%\rdl2.tmp
   • %TEMPDIR%\alg.exe
   • %TEMPDIR%\rdl1.tmp



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\rdl3.tmp.exe
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Ui.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dll
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Local.dtd
– %TEMPDIR%\rdl1.tmp Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: RKIT/Bezopi.G

– %TEMPDIR%\rdl2.tmp
– %TEMPDIR%\alg.exe



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://wc-lost.info/**********


– Adresa este urmatoarea:
   • http://teamstream.biz/**********


– Adresele sunt urmatoarele:
   • http://gp2x.ws/zg/**********?v=%numar%&rs=%sir de caractere%&n=%numar%&uid=%numar%
   • http://gp2x.ws/zg/**********?v=%numar%&rs=%sir de caractere%&n=%numar%&uid=%numar%&cc=%numar%


– Adresa este urmatoarea:
   • http://wc-zone.info/common/**********




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %TEMPDIR%\rdl3.tmp.exe


– Numele fisierului:
   • %TEMPDIR%\\alg.exe


– Numele fisierului:
   • netsh.exe firewall add allowedprogram program = "%TEMPDIR%\alg.exe" name = "Application Layer Gateway Service" mode = ENABLE scope = ALL profile = ALL


– Numele fisierului:
   • netsh.exe firewall add allowedprogram program = "%SYSDIR%\lsass.exe" name = "LSA Shell" mode = ENABLE scope = ALL profile = ALL

 Registrii sistemului Creeaza urmatoarea valoare, pentru a trece de Windows firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\alg.exe"="%TEMPDIR%\alg.exe:*:Enabled:Application Layer Gateway Service"
   • "%SYSDIR%\lsass.exe"="%SYSDIR%\lsass.exe:*:Enabled:LSA Shell"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SwUpdate"="{003541A1-3BC0-1B1C-AAF3-040114001C01"

– [HKLM\SOFTWARE\Classes\CLSID\{003541A1-3BC0-1B1C-AAF3-040114001C01}\
   InProcServer32]
   • "@"="%ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dl"
   • "ThreadingModel"="Apartmen"

– [HKLM\SOFTWARE\Classes\CLSID\
   {003541A1-3BC0-1B1C-AAF3-040114001C01}]
   • "@"="SwUpdat"



Urmatoarele chei din registri sunt modificate:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Noua valoare:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe logon.exe"

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Urmatoarele procese:
   • svchost.exe
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, May 14, 2010
Description updated by Petre Galan on Friday, May 14, 2010

Back . . . .