Nume:TR/Krypt.ehl.228352
Descoperit pe data de:18/05/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:228.352 Bytes
MD5:6942724549097e9ddd95a338b998a433
Versiune IVDF:7.10.07.130 - Tuesday, May 18, 2010

 General Alias:
   •  Sophos: Mal/Agent-AS
   •  Bitdefender: Trojan.Generic.KD.12471
   •  Panda: W32/Pinit.L.worm
   •  Eset: Win32/Pinit.AF


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\cooper.mine



Sterge urmatorul fisier:
   • %SYSDIR%\pgxahdwvzy



Sunt create fisierele:

– %SYSDIR%\user32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

– %SYSDIR%\agzrngg Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

– %SYSDIR%\dllcache\user32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

– %SYSDIR%\pgxahdwvzy Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Patched.Gen2

– %SYSDIR%\h7t.wt
– %SYSDIR%\hgtd.ruy
– %temporary internet files%\r[1].php
– %SYSDIR%\nmklo.dll



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://polujopa.com/tpsa/gate/**********


– Adresa este urmatoarea:
   • http://adobecompany.co.uk/tpsa/**********


– Adresa este urmatoarea:
   • http://adobecompany.co.uk/tpsa/**********




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="%sir de caractere%"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="F0998D6076FC4887B1F92F247CE0EE8CF48D83CDBA1B4A5E9FFBA78C9F0142E9"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appisqt_Dlls"="nmklo"

– [HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="%sir de caractere%"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Noua valoare:
   • "fDenyTSConnections"=dword:0x00000000

 Backdoor Deschide porturile:

– 174.36.1**********.1********** pe portul TCP 4521
– 174.36.1**********.1********** pe portul TCP 55039
– 174.36.1**********.1********** pe portul TCP 51534

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Wednesday, July 14, 2010
Description updated by Petre Galan on Tuesday, July 20, 2010

Back . . . .