Nume:TR/Dldr.Krepper.G.2
Descoperit pe data de:19/09/2005
Tip:Troian
Subtip:Downloader
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.624 Bytes
MD5:105b31a167a5d9751ac15c3032394513
Versiune VDF:6.26.0.8

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\inetdata\services.exe



O sectiune este adaugata fisierului.
– Catre: %WINDIR%\System.ini Cu urmatorul continut:
   • load=%WINDIR%\inetdata\winlogon.exe




Este creat fisierul:

– %WINDIR%\inetdata\version.txt



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • **********.com/gallerys/xpsystem/3.00.36.exe
Fisierul este stocat pe hard disc la: %WINDIR%\inetdata\winlogon.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.CWS.h.1.B


– Adresa este urmatoarea:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Fisierul este stocat pe hard disc la: %WINDIR%\inetdata\3.00.09.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Delf.BV.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%combinatie de caractere aleatoare%

 Backdoor Servere contactate:
Urmatorul:
   • **********.com/gallerys/xpsystem/version.txt.php?

Astfel se obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.
Raspunsul serverului este scris in fisierul: %WINDIR%\inetdata\version.txt


Posibilitati de control la distanta:
    • descarcare fisier

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, sunt folosite urmatoarele programe de arhivare:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Description insérée par Irina Boldea le lundi 19 septembre 2005
Description mise à jour par Irina Boldea le mardi 27 septembre 2005

Retour . . . .