Nom:ADSPY/Boran.O.1
La date de la découverte:05/10/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:131.072 Octets
Somme de contrôle MD5:3c6f191fe0a913c40E7139d66ba0f7ac
Version VDF:6.35.01.09
Version IVDF:6.35.01.09

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Eset: Win32/Adware.Boran


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.update.borlander.cn/updadini/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %le dossier d'exécution du malware%\updadini.ini Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://www.update.borlander.cn/updstd/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %le dossier d'exécution du malware%\updstdex.ini Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • http://www.update.borlander.cn/updstd/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %le dossier d'exécution du malware%\updstdup.ini Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"



Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

– [HKCR\Ad.AxObj]
   • @="stdup"

– [HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

– [HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

– [HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.2.2"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %le dossier d'exécution du malware%\%le fichier exécuté%,Uninstall"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware


Capacités d'accès à distance:
    • Visiter un site web

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le vendredi 6 octobre 2006
Description mise à jour par Andrei Ivanes le vendredi 27 octobre 2006

Retour . . . .