Nume:TR/Drop.Agent.uws
Descoperit pe data de:26/02/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:104.459 Bytes
MD5:c86abd1d526e6eb03f27a7cc4b397d4e
Versiune IVDF:7.01.02.84 - jeudi 26 février 2009

 General Metoda de raspandire:
• Functia autorun


Alias:
   •  Mcafee: Generic PWS.ak trojan
   •  Sophos: Troj/PWS-AYM
   •  Panda: W32/Lineage.KOS
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnLineGames.KCNF


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\tvlx2fg.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\optyhww0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.OnLineGa.wnx

– %SYSDIR%\urretnd.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.ahdz

– %TEMPDIR%\ker1.tmp Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.OnLi.123904

%unitate disc%\d1vmq.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.ahdz

– %SYSDIR%\optyhww1.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.XPACK.Gen




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://vfgtyp.com/fm4/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://vbfdt.com/fm4/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cbvcs"="%SYSDIR%\urretnd.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="afvbgy.m"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Connections]
   Noua valoare:
   • "DefaultConnectionSettings"=hex:46,00,00,00,05,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,70,89,60,1E,B4,66,CA,01,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,C0,A8,6B,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000000

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le lundi 16 novembre 2009
Description mise à jour par Andrei Ivanes le lundi 23 novembre 2009

Retour . . . .