TR/Spy.Goldun.HW - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Spy.Goldun.HW
La date de la découverte:	27/02/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	26.713 Octets
Somme de contrôle MD5:	3135de8c7d51db981a36c372bb5c170A
Version VDF:	6.33.01.33

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.hw
   • Sophos: Troj/Haxdoor-AX
   • Bitdefender: Trojan.Dropper.Goldspy.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Les fichiers suivants sont créés:

– Fichier inoffensif:
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Proxy.Goldun.HW

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%plusieurs nombres aléatoires de 0 à 9%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

Il crée les entrées suivantes afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

Porte dérobée Les ports suivants sont ouverts:

– winlogon.exe sur un port TCP aléatoire
– winlogon.exe sur le port TCP 4040 afin d'offrir accès à la ligne de commande.

Serveur de contact:
Le suivant:
   • korolevlist.com/nuc/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

Il envoie de l'information au sujet de:
    • L'adresse IP:
    • Port ouvert
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows

Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après qu'un site web soit visité.
• %tous les sites HTTPS qui contiennent un Login%
• Information du compte

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: directpt.dll

    Tous les processus suivants:
   • winlogon.exe
   • explorer.exe
   • %tous les procès redémarrés après le Malware est actif en mémoire%

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers
– Son propre processus

La méthode utilisée:
• Caché de Windows API

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 28 Feb 2006 12:15 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 09 Mar 2006 14:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour