Nume:TR/Proxy.Horst.bl
Descoperit pe data de:19/04/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:49.664 Bytes
MD5:d06bf79493e4e41528f9ebf2d96a34a1
Versiune VDF:6.34.00.199
Versiune IVDF:6.34.00.201 - mercoledì 19 aprile 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\system\smss.exe



Sunt create fisierele:

– %TEMPDIR%\tmp1.tmp Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\nvsvcd.exe Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://up.medbod.com/up/**********?jaal-1_%numar%_%numar%
Fisierul este stocat pe hard disc la: %TEMPDIR%\%numar%exmodul32.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%valori hex%



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



Se adauga in registrii sistemului:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%numar hexazecimal%"
   • "Pid"=dword:00000c88

 Email De la:
Adrese obţinute de pe Internet. Vă rugăm nu presupuneţi că a fost intenţia expeditorului să vă trimită acest email. Este posibil ca el să nu ştie că este infectat sau chiar să nu aibă sistemul infectat. În plus, este posibil să primiţi email-uri returnate care să vă indice că sunteţi infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese obţinute de pe Internet.


Corpul email-ului:
– Contine cod HTML.
Continutul este ca cel din fisierul: http://seekj.lootseek.com/d/**********



Email-ul arata astfel:


 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: info.cabmun.**********
Port: 5190
Nick: jaal-1_%numar%_%numar%

Server: up.barmuz.**********
Port: 1021
Nick: jaal-1_%numar%_%numar%


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier

 Backdoor Servere contactate:

   • http://rc.rizalof.com/**********?version=%numar%



Trimte informatii despre:
    • Statusul actual al malware-ului

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Ionut Slaveanu su mercoledì 14 giugno 2006
Descrizione aggiornata da Ionut Slaveanu su mercoledì 28 giugno 2006

Indietro . . . .