TR/Spy.Small.DG.8 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Small.DG.8
La date de la découverte:	12/01/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	61.359 Octets
Somme de contrôle MD5:	d06b6957ad63de3b509fa3f36a36c571
Version VDF:	6.32.00.237

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Small.dg
   • Bitdefender: Dropped:Trojan.KeyLogger.308

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il supprime le fichier suivant:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\tmp.tmp

Les fichiers suivants sont créés:

– %TEMPDIR%\$_2341234.TMP
– %TEMPDIR%\$_2341233.TMP Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Small.DG.5

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drop.Small.DG

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Proxy.A.2

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://garlem555.com/**********?id=%chaîne de caractères aléatoire%&sv=%plusieurs nombres aléatoires de 0 à 9%&build=%plusieurs nombres aléatoires de 0 à 9%&ts=%plusieurs nombres aléatoires de 0 à 9%&ip=%L'adresse IP courante%&sport=%port ouvert%&hport=%port ouvert%
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\$_2341233.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="\"%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe\""

La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="explorer.exe%espaces vides%\"%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe\""

Porte dérobée Les ports suivants sont ouverts:

– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.

Serveur de contact:
Le suivant:
   • http://garlem555.com/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Les adresses email recueillies
    • Crée de fichiers de journalisation.
    • L'adresse IP:
    • Le statut courant du malware
    • Port ouvert
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows

Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Une routine de journalisation est commencé après qu'un site web soit visité.
   •

– Il capture:
    • Frappes de touche
    • Fenêtre d'information
    • Trafic Internet
    • Information du compte

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: ibm00001.dll

    Nom du processus :
   • explorer.exe

– Il injecte le fichier suivant dans un processus: ibm00002.dll

    Nom du processus :
   • %tous les processus en exécution"

Informations divers Mutex:
Il crée le Mutex suivant:
• MSARCH_MUTEX_NAME

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers

La méthode utilisée:
• Caché de Windows API

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• nspack

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Fri, 13 Jan 2006 12:45 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 13 Mar 2006 15:31 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour