Nume:TR/Scar.bxqc
Descoperit pe data de:24/03/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:225.280 Bytes
MD5:0f728c1187e046662148ee7021e4b3b1
Versiune VDF:7.10.02.73
Versiune IVDF:7.10.05.192 - Wednesday, March 24, 2010

 General Alias:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\into.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\wmimgr32.dl_



Sunt create fisierele:

– %SYSDIR%\wmimgr32.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: W32/Sality.L

– %SYSDIR%\wmimgr32.dl_ Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: W32/Sality.L.1




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.invis1blearm3333.com/**********/?id607421


– Adresele sunt urmatoarele:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%numar%&domainname=%sir de caractere%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%sir de caractere%&dm=%sir de caractere%


– Adresa este urmatoarea:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%numar%




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %WINDIR%\syste

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%fisier executat%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor Deschide porturile:

– sam5.mom**********.com pe portul UDP 5051
– sam2.123**********.com pe portul UDP 5051

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\wmimgr32.dll

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Description inserted by Petre Galan on Friday, July 23, 2010
Description updated by Andrei Ivanes on Friday, July 30, 2010

Back . . . .