Nom:TR/Nichgig
La date de la découverte:28/06/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:10.901 Octets
Somme de contrôle MD5:62c776499583a39c3e613ead52e23c9c
Version VDF:6.35.00.87
Version IVDF:6.35.00.95 - jeudi 29 juin 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Gobrena
   •  Mcafee: PWS-Goldun.dr
   •  Kaspersky: Trojan-Spy.Win32.Goldun.mf
   •  F-Secure: Trojan-Spy.Win32.Goldun.mf
   •  VirusBuster: TrojanSpy.Goldun.LG
   •  Eset: Win32/Spy.Goldun.LX


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers  Il crée le répertoire suivant:
   • %TEMPDIR%\4185XXXX



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\4185XXXX\%nombre%.tmp

%SYSDIR%\hdtvu6.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Goldun.ME

%SYSDIR%\nkudpn1.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Nichgig

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%valeurs hexa%



La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%nombre%[%current user%]"

 Porte dérobée Serveur de contact:
Le suivant:
   • www.proxyland.net/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows

 Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • https://www.e-gold.com/acct/login.html

– Il capture:
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\hdtvu6.dll

    Nom du processus :
   • %tous les procès redémarrés après le Malware est actif en
      mémoire%


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Teodor Onisor le mardi 19 septembre 2006
Description mise à jour par Teodor Onisor le mercredi 20 septembre 2006

Retour . . . .