Nom:TR/PSW.Small.bs
La date de la découverte:08/01/2007
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:19.240 Octets
Somme de contrôle MD5:73dc2446341699857aaf39489508f7d7
Version VDF:6.36.00.023
Version IVDF:6.36.00.033

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: FormSpy
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Mal/Behav-044
   •  Grisoft: PSW.Generic2.REJ
   •  Eset: Win32/PSW.Small.NAD
   •  Bitdefender: Generic.Malware.SBg.56DBD99F


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\9129837.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%le dossier d'exécution du malware%\a.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%WINDIR%\hide_evr2.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Small.bs.SYS

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%numéro hexadécimal%
   • "k2"=%numéro hexadécimal%



La clé de registre suivante est changée:

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

 Porte dérobée Le port suivant est ouvert:

%WINDIR%\9129837.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Tous les suivants:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Le statut courant du malware
    • Port ouvert
    • Les informations rassemblées, décrites dans la section
    • Nom d'utilisateur
    • URL consultées


Capacités d'accès à distance:
    • Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Information du compte

 Informations divers Connexion Internet:

Il interroge avec les noms suivants:
   • mc-in-f99.google.com
   • ip-147-107.rbnnetwork.com

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Son propre processus

– Le fichier suivants:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– Le valeur de registre suivante:
   • ttool


La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le lundi 8 janvier 2007
Description mise à jour par Monica Ghitun le mardi 9 janvier 2007

Retour . . . .