Nume:TR/Proxy.Wopla.Q.4
Descoperit pe data de:02/02/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:20.992 Bytes
MD5:f021056fd653f96ea629dd6bfca6d444
Versiune VDF:6.33.00.187

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.Tannick.B
   •  Kaspersky: Trojan-Proxy.Win32.Wopla.q
   •  Bitdefender: Trojan.Proxy.Wopla.Q


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 8 caractere aleatoare%.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\xtempx.xxx

– %SYSDIR%\%sir de 8 caractere aleatoare%.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Wopla.Q.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"

– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
   InProcServer32]
   • @="%SYSDIR%\%dll malware%"
   • "ThreadingModel"="Apartment"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Placeholder_Datagl"=%valori hex%gl.secd**********%valori hex%gl.nulladd**********%valori hex%

 Email Contine un motor SMTP integrat, pentru a trimite spam prin email. Astfel se va conecta direct la serverul destinatar. Caracteristicile sunt:


De la:
Adresa este falsificata.
Adrese obţinute de pe Internet. Vă rugăm nu presupuneţi că a fost intenţia expeditorului să vă trimită acest email. Este posibil ca el să nu ştie că este infectat sau chiar să nu aibă sistemul infectat. În plus, este posibil să primiţi email-uri returnate care să vă indice că sunteţi infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese obţinute de pe Internet.


Subiect:
Urmatorul:
   • %descarcat de pe internet%



Corpul email-ului:
Corpul email-ului este:
   • %descarcat de pe internet%

 Backdoor Deschide portul

– %WINDIR%\explorer.exe port TCP aleator pentru a functiona ca server proxy Socks 5,


Servere contactate:
Urmatorul:
   • gl.secd**********

Astfel se obtine control la distanta.

Posibilitati de control la distanta:
    • trimitere email-uri
    • Vizitarea unui website

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PECompact

Description insérée par Daniel Constantin le lundi 6 mars 2006
Description mise à jour par Daniel Constantin le jeudi 9 mars 2006

Retour . . . .