TR/PSW.Small.BS.2 - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/PSW.Small.BS.2
La date de la découverte:	12/09/2006
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	12.592 Octets
Somme de contrôle MD5:	978ded8c7055e4c5e650600D2fcc0C3f
Version VDF:	6.35.01.216
Version IVDF:	6.35.01.220

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Sophos: Troj/PWS-HP
   • Bitdefender: Trojan.PSW.Small.B

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\9129837.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %WINDIR%\hide_evr2.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Small.BS.3

– %le dossier d'exécution du malware%\a.bat Ce fichier séquentiel est employé pour effacer un fichier.

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%chaîne de caractères aléatoire%
   • "k2"=%chaîne de caractères aléatoire%

Porte dérobée Le port suivant est ouvert:
sur un port UDP aléatoire afin de fournir de capacités de porte dérobée

Serveur de contact:
Tous les suivants:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Les informations rassemblées, décrites dans la section

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • La fenêtre du navigateur

La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre

La méthode utilisée:
• Caché de Windows API

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Fri, 22 Sep 2006 09:54 (GMT+1)
Description mise à jour par Andrei Ivanes sur Thu, 19 Oct 2006 14:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour