Nume:TR/Proxy.Lager.AQ.9
Descoperit pe data de:07/04/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:51.603 Bytes
MD5:4c5251efd0bae37655d169065206519f
Versiune VDF:6.34.00.165

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\zlbw.dll

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\log.txt

– %SYSDIR%\taskdir.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Lager.AQ.1




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://216.255.179.238/new/cntr/bin/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\taskdir~.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%numar hexazecimal%
   • "ColorTable20"=dword:%numar hexazecimal%

 Backdoor Servere contactate:
Urmatoarele:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • trimitere email-uri

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: taskdir.dll

    Numele procesului:
   • %toate procesele pornite dupa ce virusul este activ in memorie%


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • _alanchum

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:

– Fisiere ale caror nume contin stringul:
   • taskdir

– Procese ale caror nume contin stringul:
   • taskdir

– Urmatoarea intrare in registru:
   • taskdir


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Daniel Constantin le vendredi 7 avril 2006
Description mise à jour par Daniel Constantin le mercredi 12 avril 2006

Retour . . . .