Nume:TR/Oficla.AA
Descoperit pe data de:07/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:34.816 Bytes
MD5:ee97199dec81e92d2a1013c827afd5bc
Versiune IVDF:7.10.09.29 - Wednesday, July 7, 2010

 General Metoda de raspandire:
   • Email


Sistem de operare:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\svchost.exe



Sunt create fisierele:

– %TEMPDIR%\tmpf5c96f2a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
– %temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
– %temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.um**********oom5.gif
Fisierul este stocat pe hard disc la: %TEMPDIR%\system.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Ikcie]
   • %valori hex%

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • DHL Tracking Number %sir de caractere%



Corpul email-ului:
Corpul email-ului este:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


Atasament:
Numele fisierului atasat este urmatorul:
   • DHL_INVOICE23.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Patrick Schoenherr on Wednesday, July 7, 2010
Description updated by Patrick Schoenherr on Wednesday, July 7, 2010

Back . . . .