Nume:TR/Hijack.Explor.1
Descoperit pe data de:28/06/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.056 Bytes
MD5:f508e5a83c339e32a4e0d1185873dea2
Versiune VDF:6.35.00.88
Versiune IVDF:6.35.00.99 - vendredi 30 juin 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Small.ez
   •  TrendMicro: TROJ_SMALL.DEF
   •  F-Secure: Trojan-Proxy.Win32.Small.ez
   •  Grisoft: Proxy.FRE
   •  Eset: Win32/Agent.PA


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svcroot.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe svcroot.exe"

 Backdoor Deschide porturile:

– iexplore.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,
– iexplore.exe pe portul TCP 5050 pentru a crea remote Shell.


Servere contactate:
Urmatorul:
   • http://www.site.ru/socks/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Port deschis
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile chei de registru


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Adriana Popa le mercredi 25 octobre 2006
Description mise à jour par Adriana Popa le mercredi 25 octobre 2006

Retour . . . .