Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/MSIL.Crypt.FO
Descoperit pe data de:07/06/2011
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:124.416 Bytes
MD5:BAE283DC1C8A76CBEEA644A0B7CD6EFB
Versiune VDF:7.11.09.87 - marți, 7 iunie 2011
Versiune IVDF:7.11.09.87 - marți, 7 iunie 2011

 General Metoda de raspandire:
   • Functia autorun
   • Email
   • Messenger


Alias:
   •  Kaspersky: Trojan.MSIL.Crypt.fo
   •  TrendMicro: TROJ_MSIL.BY
   •  Microsoft: Worm:Win32/Dorkbot


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********e.yourwebfind.com
Port: 5101
Nick: %combinatie de caractere aleatoare%

Server: **********e.drwhox.com
Port: 5101
Nick: %combinatie de caractere aleatoare%

Server: **********e.babypin.net
Port: 5101
Nick: %combinatie de caractere aleatoare%

Server: **********e.beecitysearch.com
Port: 5101
Nick: %combinatie de caractere aleatoare%

Server: **********e.mdmads.com
Port: 5101
Nick: %combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • descarcare fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • repornirea sistemului
    • Porneste rutina de raspandire

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %proces aleator%



Scop:
Accesul la urmatoarele website-uri este efectiv blocat:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Alte informatii Acceseaza resurse de pe internet:
   • api.wipmania.com

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Tuesday, September 6, 2011
Description updated by Andrei Ilie on Tuesday, September 6, 2011

Back . . . .