Nume:TR/PSW.Raven.A
Descoperit pe data de:10/03/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:31.913 Bytes
MD5:8b0908665655c086ae2277f913ec9a86
Versiune VDF:6.34.00.26

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\msoff.exe



Sunt create fisierele:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%combinatie de caractere aleatoare% Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%

– %TEMPDIR%\jav2.tmp Analiza ulterioara a relevat ca si acest fisier este malware.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contine parametri folositi de malware.
– %ALLUSERSPROFILE%\raven2BG_%combinatie de caractere aleatoare%dat Indicator folosit pentru o rutina interna.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Backdoor Deschide portul

– svchost.exe port TCP aleator pentru a functiona ca server proxy Socks 5,


Servere contactate:
Urmatoarele:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

Astfel se pot transmite informatii.

Trimte informatii despre:
    • Loguri create
    • Utilizatorul curent
    • Adresa IP
    • Port deschis
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • Porneste keylog

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Este pornita o rutina de logare dupa ce viziteaza un site care contine urmatorul sir de caractere in URL:
   • %parametru linie de comanda%

– Face captura la:
    • Informatii legate de fereastra
    • Informatii de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %TEMPDIR%\jav2.tmp

    Urmatoarele procese:
   • svchost.exe
   • lsass.exe


 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG 2.0

Description insérée par Andrei Gherman le mercredi 15 mars 2006
Description mise à jour par Andrei Gherman le mercredi 15 mars 2006

Retour . . . .