Nom:TR/Spy.Haxspy.AE
La date de la découverte:21/07/2006
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:10.824 Octets
Somme de contrôle MD5:9471026d4c6e1911e317af28ac259a6b
Version VDF:6.34.01.155
Version IVDF:6.34.01.161 - mardi 30 mai 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Le fichier suivant est créé:

%SYSDIR%\wndtx1.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Bolol.A.4

%SYSDIR%\ipudpb2.sys Détecté comme: TR/Spy.Haxspy.AE

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%chaîne de caractères aléatoire%[%le nom d'utilisateur courant% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



La clé de registre suivante est changée:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   L'ancienne valeur:
   • "PendingFileRenameOperations"=%valeurs hexa%
   La nouvelle valeur:
   • "PendingFileRenameOperations"=%valeurs hexa%

 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.salidol.biz/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Utilisateur courant
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • http://www.e-gold.com
   • %tous les sites HTTPS qui contiennent un Login%

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\wndtx1.dll

    Tous les processus suivants:
   • iexplore.exe
   • %tous les procès redémarrés après le Malware est actif en mémoire%


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:


La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtCreateProcess
   • NtCreateProcessEx
   • ZwCreateProcess
   • ZwCreateProcessEx

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Monica Ghitun le vendredi 21 juillet 2006
Description mise à jour par Monica Ghitun le mercredi 2 août 2006

Retour . . . .