Nom:TR/PSW.Small.BS.1
La date de la découverte:12/09/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:40.960 Octets
Somme de contrôle MD5:e749eb17826b0Ec9671d21be9160ab86
Version VDF:6.35.01.216
Version IVDF:6.35.01.220 - mercredi 13 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\9129837.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%WINDIR%\hide_evr2.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Small.BS.3

%le dossier d'exécution du malware%\a.bat Ce fichier séquentiel est employé pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%chaîne de caractères aléatoire%
   • "k2"=%chaîne de caractères aléatoire%

 Porte dérobée Le port suivant est ouvert:
sur un port UDP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Tous les suivants:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur

 La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre


La méthode utilisée:
    • Caché de Windows API

Description insérée par Marius T. Nicolae le jeudi 21 septembre 2006
Description mise à jour par Andrei Ivanes le jeudi 19 octobre 2006

Retour . . . .