Nume:TR/Neeris.67584
Descoperit pe data de:31/03/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:67.584 Bytes
MD5:f7db2ac64bf9874bc03d847426c0c811
Versiune IVDF:7.10.06.06 - Wednesday, March 31, 2010

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Sophos: W32/Autorun-AEX
   •  Bitdefender: Trojan.Agent.AMMK
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/Injector.MM


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\smsc.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%SYSDIR%\smsc.exe"

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WSSVC"="%SYSDIR%\smsc.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   SVCWINSPOOL]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   SVCWINSPOOL]
   • "@"="Service"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: b.vsp**********.com
Port: 988
Canal: #lox
Nick: [00-USA-XP-%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Thursday, August 5, 2010
Description updated by Petre Galan on Thursday, August 5, 2010

Back . . . .