Nume:TR/Skelf.A
Descoperit pe data de:17/05/2012
Tip:Troian
ITW:Nu
Numar infectii raportate:Mediu spre ridicat
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:34.477 Bytes
MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Versiune VDF:7.11.30.90 - jeudi 17 mai 2012
Versiune IVDF:7.11.30.90 - jeudi 17 mai 2012

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\%combinatie de caractere aleatoare%.pre
   • %SYSDIR%\%combinatie de caractere aleatoare% .exe
   • %APPDATA%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %combinatie de caractere aleatoare% = %APPDATA%\%combinatie de caractere aleatoare%\%combinatie de caractere aleatoare%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%combinatie de caractere aleatoare%.exe,"



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%combinatie de caractere aleatoare%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%combinatie de caractere aleatoare%.EXE"



Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Noua valoare:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • %SYSDIR%\ctfmon.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX


Criptare:
Criptare - Codul virusului este criptat in cadrul fisierului.

Description insérée par Ana Maria Niculescu le jeudi 17 mai 2012
Description mise à jour par Andrei Gherman le jeudi 17 mai 2012

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.