Nume:TR/PSW.Small.BS.3
Descoperit pe data de:12/09/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:24.236 Bytes
MD5:782aa60074ea0620b2c974bf9f17507a
Versiune VDF:6.35.01.216
Versiune IVDF:6.35.01.220 - mercredi 13 septembre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Spy-Agent.bg


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\9129837.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %WINDIR%\hide_evr2.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Small.BS.3

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %numar hexazecimal%
   • k2 = %numar hexazecimal%



Urmatoarea cheie din registri este modificata:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 4

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Security Center

 Backdoor Deschide portul

– %WINDIR%\9129837.exe port TCP aleator pentru a functiona ca server proxy Socks 5,


Servere contactate:
Urmatoarele:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Parole retinute
    • Port deschis
    • Informatiile colectate, descrise in sectiunea


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul proces

– Urmatoarele fisiere:
   • 9129837.exe
   • hide_evr2.sys

– Urmatoarea intrare in registru:
   • ttool


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le mercredi 27 septembre 2006
Description mise à jour par Andrei Gherman le mercredi 27 septembre 2006

Retour . . . .