Nume:TR/PSW.PdP.CT.1.E.3
Descoperit pe data de:17/03/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:24.302 Bytes
MD5:741f81f6154bd5115028579dcb9da082
Versiune VDF:6.34.00.61

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.iw
   •  VirusBuster: Rootkit.Agent.10
   •  Bitdefender: Trojan.Spy.Goldun.IW


Sistem de operare:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– %SYSDIR%\axdebugl.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Haxdoor.GJ.1

– %SYSDIR%\axdebugld.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.PdP.CT.1.E.3

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\axdebugl.sys"
   • "DisplayName"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
   • "Security"=%valori hex%

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
   • "0"="Root\\LEGACY_AXDEBUGLD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
   • "Service"="axdebugld"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="axdebugld"



Se adauga in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   axdebugl
   • "DllName"="axdebugl.dll"
   • "Startup"="axdebugl"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[%numar hexazecimal%]"

 Backdoor Servere contactate:

   • servername1.com/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Parole retinute
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • Miranda
   • Internet Explorer
   • Mozilla
   • Maxthon
   • The Bat
   • Msn
   • Icq
   • Opera

– O rutina de logare este pornita dupa ce un site este vizitat:
   • e-gold.com

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: axdebugl.sys

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Sergiu Oprea el lunes 10 de abril de 2006
Descripción actualizada por Sergiu Oprea el martes 11 de abril de 2006

Volver . . . .