Nume:TR/Dldr.CWS.h.1.B
Descoperit pe data de:19/09/2005
Tip:Troian
Subtip:Downloader
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:3bb19c92f33d0b89cf823bacea72efa9
Versiune VDF:6.32.0.38

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\inetdata\services.exe



O sectiune este adaugata fisierului.
– Catre: %WINDIR%\system.ini Cu urmatorul continut:
   • load=%WINDIR%\inetdata\services.exe
     




Este creat fisierul:

– %WINDIR%\inetdata\tmp



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • traff-**********.com/ef.exe
Fisierul este stocat pe hard disc la: %WINDIR%\ef.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.CWS.C.2


– Adresa este urmatoarea:
   • traff-**********.com/killer.exe
Fisierul este stocat pe hard disc la: %WINDIR%\skiller.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.CWS.A


– Adresa este urmatoarea:
   • traff-**********.com/socks5.exe
Fisierul este stocat pe hard disc la: %WINDIR%\winsocks5.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Small.bt.3


– Adresa este urmatoarea:
   • **********.com/mm.exe
Fisierul este stocat pe hard disc la: %WINDIR%\mm1.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.CWS.h.2


– Adresa este urmatoarea:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Fisierul este stocat pe hard disc la: %WINDIR%\inetdata\3.00.09.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Delf.BV.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%combinatie de caractere aleatoare%

 Backdoor Servere contactate:
Urmatoarele:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • ID-ul platformei
    • Activitatea utilizatorilor locali

 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.

Description insérée par Irina Boldea le lundi 19 septembre 2005
Description mise à jour par Irina Boldea le mardi 27 septembre 2005

Retour . . . .