Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Obisty.A
Descoperit pe data de:19/12/2012
Tip:Troian
ITW:Nu
Numar infectii raportate:Mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:148.992 Bytes
MD5:89FA070B12AEE94C97F15AFBC8404E00
Versiune VDF:7.11.54.86 - miercuri, 19 decembrie 2012
Versiune IVDF:7.11.54.86 - miercuri, 19 decembrie 2012

 General Metoda de raspandire:
   • Prin vizitarea de pagini web infectate

Detectii similare:
     JS/Redirector.SB
     EXP/Pidief.zar


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\KB%sir de 8 caractere aleatoare%.exe



Este creat fisierul:

%TEMPDIR%\exp3.tmp.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%sir de 8 caractere aleatoare% .exe

 Backdoor Servere contactate:
Unul dintre:
   • http://84.22.100.108:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://182.237.17.180:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://123.49.61.59:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://204.15.30.202:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://64.76.19.236:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://59.90.221.6:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://210.56.23.100:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://94.73.129.120:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.143.174.136:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://203.217.147.52:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.207.237.170:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://23.29.73.220:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://69.64.89.82:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.63.229.10:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.86.113.66:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.121.188.156:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://50.22.94.96:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://173.203.102.204:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.117.107.25:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.142.68.239:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.212.156.170:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.120.226.30:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://78.28.120.32:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://217.65.100.41:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://81.93.250.157:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.40.109.204:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face prin metoda HTTP POST, folosind un script PHP.

 Injectarea codului malware in alte procese  Se injecteaza ca un thread in procese.

Este injectat in toate procesele.


 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Liviu Serban on Wednesday, December 19, 2012
Description updated by Andrei Gherman on Wednesday, December 19, 2012

Back . . . .