Nume:TR/Agent.121
Descoperit pe data de:17/03/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:24.577 Bytes
MD5:27cdc487080B61e035fffb686fd882ae
Versiune VDF:6.34.00.61

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: PWSteal.Reoxtan
   •  Mcafee: PWS-Reox
   •  TrendMicro: TSPY_REOX.F
   •  Bitdefender: Trojan.Spy.Reox.E


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\service\explorer.exe



Este creat fisierul:

– %SYSDIR%\service\dllp.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://ccunion.org/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\compress.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • 1 = %SYSDIR%\service\explorer.exe



Urmatoarele chei din registri sunt modificate:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\]
   Noua valoare:
   • DoNotAllowExceptions = 0
   • EnableFirewall = 0
   • DisableNotifications = 1

– [HKLM\SOFTWARE\Microsoft\Security Center\]
   Noua valoare:
   • AntiVirusDisableNotify = 1

 Backdoor Deschide portul

– %SYSDIR%\service\explorer.exe pe portul TCP 47800 pentru a functiona ca server proxy.


Servere contactate:
Urmatoarele:
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Parole retinute
    • Numele sistemului
    • Loguri create
    • Adresa IP
    • Informatii despre retea
    • Port deschis
    • Informatii despre procesele sistemului
    • Informatiile colectate, descrise in sectiunea


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • Porneste keylog

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete

– Parolele din urmatoarele programe:
   • Outlook
   • Far
   • The Bat
   • WinCmd
   • Edialer

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW

Descrizione inserita da Andrei Gherman su venerdì 7 aprile 2006
Descrizione aggiornata da Andrei Gherman su venerdì 7 aprile 2006

Indietro . . . .