Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Agent.86016
Descoperit pe data de:14/11/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:85.304 Bytes
MD5:b33fd2986984b06065b21712d6385b9a
Versiune VDF:6.36.01.22 - marți, 14 noiembrie 2006
Versiune IVDF:6.36.01.22 - marți, 14 noiembrie 2006

 General Metode de raspandire:
   • Functia autorun
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Menti.glsd
   •  Bitdefender: Trojan.Generic.KD.227298
   •  GData: Trojan.Generic.KD.227298
   •  DrWeb: Trojan.Packed.21648


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\RECYCLER\Cwtstu.exe
   • %HOME%\Application Data\Cwtstu.exe



Sterge copia initiala a virusului.



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %HOME%\Application Data\Cwtstu.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cwtstu"="%HOME%\Application Data\Cwtstu.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: ng.the**********.com
Port: 3800

Server: ng.mar**********.com
Port: 3800

Server: ng.gra**********.com
Port: 3800

Server: ng.lig**********.com
Port: 3800

Server: ng.coa**********.com
Port: 3800

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *megaupload.*/*login; *fileserve.*/login*; *twitter.com/sessions;
      *.alertpay.*/*login.aspx; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *steampowered*/login*;
      *hackforums.*/member.php; *facebook.*/login.php*;
      *login.yahoo.*/*login*; *login.live.*/*post.srf*; *gmx.*/*FormLogin*;
      *fastmail.*/mail/*; *bigstring.*/*index.php*;
      *screenname.aol.*/login.psp*; *aol.*/*login.psp*;
      *google.*/*ServiceLoginAuth*; *paypal.*/webscr?cmd=_login-submit*

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

Este injectat in toate procesele.


 Alte informatii Acceseaza resurse de pe internet:
   • http://api.wip**********.com/


Mutex:
Creeaza urmatorul mutex:
   • djQPssJO4SAQzkgw

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Tuesday, July 5, 2011
Description updated by Petre Galan on Tuesday, July 5, 2011

Back . . . .