Nume:TR/FakeAV.LBQ
Descoperit pe data de:19/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.568 Bytes
MD5:d7c2473852f25cc0a06094d9e9130Fac
Versiune IVDF:7.10.09.110 - lundi 19 juillet 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.TDSS.ur
   •  F-Secure: Trojan.FakeAV.LBQ
   •  Sophos: Mal/TDSSPk-AD
   •  Bitdefender: Trojan.FakeAV.LBQ
   •  Microsoft: Trojan:Win32/Meredrop
   •  AVG: Agent2.AZMO
   •  VirusBuster: Trojan.Meredrop.ABKU
   •  Eset: Win32/Olmarik.ABS
   •  Sunbelt: Trojan.Win32.Meredrop
   •  GData: Trojan.FakeAV.LBQ
   •  AhnLab: Backdoor/Win32.TDSS
   •  DrWeb: Trojan.PWS.IpDiscover.17
   •  Ikarus: Trojan.Win32.Meredrop


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Redirectioneaza automat navigatorul la un website infectat

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\b3bfd04c.exe



Sunt create fisierele:

– %SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/FakeAV.LBQ

– %WINDIR%\Tasks\b3bfd04c.job
– %SYSDIR%\ernel32.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/FakeAV.LBQ

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Vechea valoare:
   • "UacDisableNotify"=dword:00000000
   Noua valoare:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Vechea valoare:
   • "NameServer"="%adresa IP%"
   • "DhcpNameServer"="%adresa IP%"
   Noua valoare:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Vechea valoare:
   • "NameServer"="%adresa IP%"
   • "DhcpNameServer"="%adresa IP%"
   Noua valoare:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

 Injectarea codului malware in alte procese – Se injecteaza in procese.

    Urmatoarele procese:
   • spoolsv.exe
   • svchost.exe


Description insérée par Patrick Schoenherr le lundi 26 juillet 2010
Description mise à jour par Patrick Schoenherr le lundi 26 juillet 2010

Retour . . . .