Descripción completa

Nume:	TR/Spy.Bancodor.AB
Descoperit pe data de:	12/04/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	41.472 Bytes
MD5:	62417a81023a5ae1dfce61709824d49b
Versiune VDF:	6.34.00.176

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Backdoor.Win32.Bancodor.ab
   • TrendMicro: TSPY_AGENT.BRF
   • Bitdefender: Trojan.Spy.Bancodor.A

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Common Files\System\lsass.exe

Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%combinatie de caractere aleatoare%.tmp.log

– %SYSDIR%\divx.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%

– %SYSDIR%\winaupd.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Bancodo.AB.2

– %SYSDIR%\xvid.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Bancodo.AB.4

– %SYSDIR%\nUn.b Contine parametri folositi de malware.

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe

Se sterg urmatoarele chei din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit

Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Noua valoare:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Vechea valoare:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Noua valoare:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • SFCDisable = 0
   Noua valoare:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Internet Explorer]
   Noua valoare:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Noua valoare:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Noua valoare:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Noua valoare:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Noua valoare:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Noua valoare:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Noua valoare:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Noua valoare:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Noua valoare:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • SeparateProcess = 0

Terminarea proceselor Lista cu procesele oprite:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe

Backdoor Servere contactate:
Urmatorul:
   • http://www.southsea.cc/news/**********

Astfel se pot transmite informatii. In plus, conexiunea e reluata periodic. Aceasta se face prin metoda HTTP POST, folosind un script PHP.
Raspunsul serverului este scris in fisierul: %SYSDIR%\xvid.ini

Trimte informatii despre:
    • Parole retinute
    • Loguri create
    • Variabile de mediu
    • Statusul actual al malware-ului
    • Informatii despre procesele sistemului
    • Informatiile colectate, descrise in sectiunea

Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii legate de fereastra
    • Informatii de logare

Injectarea codului malware in alte procese – Injecteaza fisierul urmator intr-un proces: %SYSDIR%\xvid.dll

Numele procesului:
• %toate procesele pornite dupa ce virusul este activ in memorie%

Alte informatii Mutex:
Creeaza urmatorul mutex:
• _Toolbar_Class_32

Modificare de fisiere:
Pentru a intrerupe Windows File Protection (WFP), poate modifica fisierul sfc_os.dll la 0000E2B8. WFP are ca scop evitarea problemelor cunoscute ce cauzeaza inconsistenta in DLL.

Tehnologie Rootkit Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.

Ascunde urmatoarele:
– Propriul proces

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Descripción insertada por Andrei Gherman el jueves 13 de abril de 2006
Descripción actualizada por Andrei Gherman el jueves 13 de abril de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas