Nume:TR/PSW.Small.bs
Descoperit pe data de:08/01/2007
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:19.240 Bytes
MD5:73dc2446341699857aaf39489508f7d7
Versiune VDF:6.36.00.023
Versiune IVDF:6.36.00.033

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: FormSpy
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Mal/Behav-044
   •  Grisoft: PSW.Generic2.REJ
   •  Eset: Win32/PSW.Small.NAD
   •  Bitdefender: Generic.Malware.SBg.56DBD99F


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%directorul de activare malware%\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\hide_evr2.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.bs.SYS

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%numar hexazecimal%
   • "k2"=%numar hexazecimal%



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

 Backdoor Deschide portul

– %WINDIR%\9129837.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Parole retinute
    • Statusul actual al malware-ului
    • Port deschis
    • Informatiile colectate, descrise in sectiunea
    • Utilizator
    • adresele vizitate


Posibilitati de control la distanta:
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce un site este vizitat:
   • %orice site care contine un formular de autentificare%

– Face captura la:
    • Informatii de logare

 Alte informatii Conexiune internet:

Formuleaza cereri pentru urmatoarele nume:
   • mc-in-f99.google.com
   • ip-147-107.rbnnetwork.com

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul proces

– Urmatoarele fisiere:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– Urmatoarea intrare in registru:
   • ttool


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Monica Ghitun el lunes 8 de enero de 2007
Descripción actualizada por Monica Ghitun el martes 9 de enero de 2007

Volver . . . .