TR/PSW.Small.BS.1 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/PSW.Small.BS.1
La date de la découverte:	12/09/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	40.960 Octets
Somme de contrôle MD5:	e749eb17826b0Ec9671d21be9160ab86
Version VDF:	6.35.01.216
Version IVDF:	6.35.01.220

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-PSW.Win32.Small.bs
   • Sophos: Troj/PWS-HP
   • Bitdefender: Trojan.PSW.Small.B

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\9129837.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %WINDIR%\hide_evr2.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Small.BS.3

– %le dossier d'exécution du malware%\a.bat Ce fichier séquentiel est employé pour effacer un fichier.

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%chaîne de caractères aléatoire%
   • "k2"=%chaîne de caractères aléatoire%

Porte dérobée Le port suivant est ouvert:
sur un port UDP aléatoire afin de fournir de capacités de porte dérobée

Serveur de contact:
Tous les suivants:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Les informations rassemblées, décrites dans la section

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur

La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre

La méthode utilisée:
• Caché de Windows API

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Thu, 21 Sep 2006 10:27 (GMT+1)
Description mise à jour par Andrei Ivanes sur Thu, 19 Oct 2006 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour