TR/Drop.Bomka.G.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Drop.Bomka.G.2
La date de la découverte:	09/02/2006
Type:	Cheval de Troie
Sous type:	Dropper
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	185.953 Octets
Somme de contrôle MD5:	141dd10Ecaaffae90828993c1f2aab70
Version VDF:	6.33.00.212

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: AdClicker-DW
   • TrendMicro: TROJ_BOMKA.G
   • Sophos: Troj/Bombka-F
   • Panda: Trj/Dropper.QN
   • Bitdefender: Trojan.Downloader.Bomka.G

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

Fichiers Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %TEMPDIR%\ns%chaîne de caractères aléatoire%.tmp

– %SYSDIR%\kaboom.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Bomka.G

– %TEMPDIR%\game1.exe Ensuite, il est exécuté après avoir été completment crée.

Registre Il enregistre un objet d'aide du navigateur en ajoutant les clés suivantes:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
   • @="Labspak"

– [HKCR\Horde.Labspak\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\Horde.Labspak\CurVer]
   • @="Horde.Labspak.1"

– [HKCR\Horde.Labspak.1]
   • @="Labspak"

– [HKCR\Horde.Labspak.1\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
   • @="Labspak"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
   • @="%SYSDIR%\kaboom.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
   • @="Horde.Labspak.1"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
   VersionIndependentProgID]
   • @="Horde.Labspak"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
   • @="KABOOMLib"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
   • @="%SYSDIR%\kaboom.dll"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
   • @="%SYSDIR%\"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Zeal]
   • "campaign_id"="18"
   • "is_dialup"=dword:%numéro hexadécimal%
   • "user_id"="%chaîne de caractères aléatoire de six digits%"
   • "sleep_delay"=dword:%numéro hexadécimal%
   • "install_delay"=dword:%numéro hexadécimal%
   • "main_delay"=dword:%numéro hexadécimal%
   • "stage"=dword:%numéro hexadécimal%
   • "timeout"=dword:%numéro hexadécimal%

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
   • @="ILabspak"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
   • "Version"="3.0"

Porte dérobée Serveur de contact:
Un des suivants::
   • joywebserfer.com/counter11/**********
   • cleverhead.info/counter11/**********
   • wannabcool.info/counter11/**********
   • somethngcool.info/counter11/**********
   • sortbycool.info/counter11/**********
   • mucho-cool.com/counter11/**********
   • epromosystems.com/counter11/**********

Le suivant:
   • mucho-cool.com/counter11/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.
Le réponse du serveur est écrit dans le fichier: %TEMPDIR%\s32o.%random number%

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Utilisateur courant
    • Le type de la connexion Internet
    • L'ID de la plateforme

Capacités d'accès à distance:
    • Visiter un site web

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: kaboom.dll

Nom du processus:
• iexplore.exe

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 14 Feb 2006 09:21 (GMT+1)
Description mise à jour par Daniel Constantin sur Tue, 14 Feb 2006 09:37 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour