Nume:TR/Hijack.Explor.1
Descoperit pe data de:28/06/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.056 Bytes
MD5:f508e5a83c339e32a4e0d1185873dea2
Versiune VDF:6.35.00.88
Versiune IVDF:6.35.00.99 - viernes 30 de junio de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Small.ez
   •  TrendMicro: TROJ_SMALL.DEF
   •  F-Secure: Trojan-Proxy.Win32.Small.ez
   •  Grisoft: Proxy.FRE
   •  Eset: Win32/Agent.PA


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svcroot.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe svcroot.exe"

 Backdoor Deschide porturile:

– iexplore.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,
– iexplore.exe pe portul TCP 5050 pentru a crea remote Shell.


Servere contactate:
Urmatorul:
   • http://www.site.ru/socks/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Port deschis
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile chei de registru


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Adriana Popa el miércoles 25 de octubre de 2006
Descripción actualizada por Adriana Popa el miércoles 25 de octubre de 2006

Volver . . . .