Nom:TR/Spy.Haxspy.AP
La date de la découverte:19/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.332 Octets
Somme de contrôle MD5:3f74b3177428e511150E49584d25e150
Version VDF:6.35.00.184
Version IVDF:6.35.00.224

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ap
   •  TrendMicro: TSPY_HAXSPY.AP


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\ksl48.bin

%SYSDIR%\satau320.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\satau325.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\satau325.sys"
   • "DisplayName"="SATA bus driver"

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Enum]
   • "0"="Root\\LEGACY_SATAU325\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   satau320]
   • DllName=satau320.dll
   • Startup=satau320
   • Impersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • "nk48id"="[%valeurs hexa%]"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://dasterban1972.info/corpse/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • Internet Explorer
   • MyIE
   • miranda
   • Mozilla
   • Maxthon
   • The Bat
   • Outlook Express
   • MSN
   • ICQ
   • Opera

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • E-gold
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\satau320.dll

    Tous les processus suivants:
   • explorer.exe
   • iexplore.exe
   • opera.exe
   • myie.exe
   • mozilla.exe
   • thebat.exe
   • outlook.exe
   • msn.exe
   • icq.exe
   • %tous les procès redémarrés après le Malware est actif en mémoire%



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • updates1.kaspersky-labs.com; customer.symantec.com;
      download.mcafee.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com; avp.com;
      avp.ru; awaps.net; downloads3.kaspersky-labs.com; dispatch.mcafee.com;
      downloads4.kaspersky-labs.com; avp.ch; updates1.kaspersky-labs.com;
      updates2.kaspersky-labs.com; virustotal.com;
      updates3.kaspersky-labs.com; d-ru-2f.kaspersky-labs.com;
      updates3.kaspersky-labs.com; updates4.kaspersky-labs.com;
      updates5.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
      engine.awaps.net; f-secure.com; ftp.avp.ch;
      ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
      d-eu-1f.kaspersky-labs.com; rads.mcafee.com;
      d-eu-2f.kaspersky-labs.com; liveupdate.symantec.com;
      d-us-1f.kaspersky-labs.com; ftp.sophos.com; ids.kaspersky-labs.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

– Le fichier suivants:
   • sc02.ies4
   • satau320.dll
   • sc03.ies4
   • satau325.sys
   • sc01.ies4


La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtCreateProcess
   • ZwCreateProcess
   • NtCreateProcessEx
   • ZtCreateProcessEx
   • NtQueryDirectoryFile
   • ZwQueryDirectoryFile

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 2.0

Description insérée par Victor Tone le lundi 31 juillet 2006
Description mise à jour par Victor Tone le lundi 31 juillet 2006

Retour . . . .