Nume:TR/PSW.Small.BS.2
Descoperit pe data de:12/09/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:12.592 Bytes
MD5:978ded8c7055e4c5e650600D2fcc0C3f
Versiune VDF:6.35.01.216
Versiune IVDF:6.35.01.220 - miércoles 13 de septiembre de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\hide_evr2.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.BS.3

%directorul de activare malware%\a.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%combinatie de caractere aleatoare%
   • "k2"=%combinatie de caractere aleatoare%

 Backdoor Deschide portul
port UDP aleator pentru a oferi functionalitate de backdoor.


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii legate de fereastra
    • Fereastra navigatorului Internet

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces
– Propriile chei de registru


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Marius T. Nicolae el viernes 22 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el jueves 19 de octubre de 2006

Volver . . . .