Nume:TR/Norip.1
Descoperit pe data de:20/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:89.911 Bytes
MD5:c38df15f1aae333a7dac39cb9646ed55
Versiune VDF:6.35.00.195
Versiune IVDF:6.35.00.235

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\LSASS.EXE
   • %WINDIR%\EXERT.EXE
   • %WINDIR%\Debug\DebugProgram.exe

   • %SYSDIR%\MSCONFIG.EXE
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com

   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.COM
   • %PROGRAM FILES%\Common Files\INTEXPLORE.PIF



Poate afecta urmatoarele fisiere:
   • RAVMON.EXE
   • TROJDIE*
   • KPOP*
   • CCENTER*
   • *ASSISTSE*
   • KPFW*
   • AGENTSVR*
   • KV*
   • KREG*
   • IEFIND*
   • IPARMOR*
   • SVI.EXE
   • UPHC*
   • RULEWIZE*
   • FYGT*
   • RFWSRV*
   • RFWMA*

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ToP = %WINDIR%\LSASS.exe



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\WindowFiles]

– [HKCR\WindowFiles\DefaultIcon]
   • @ = %1

– [HKCR\WindowFiles\Shell]

– [HKCR\WindowFiles\Shell\Open]

– [HKCR\WindowFiles\Shell\Open\Command]
   • @ = %WINDIR%\EXERT.exe "%1" %*



Urmatoarele chei din registri sunt modificate:

– [HKCR\.exe]
   Noua valoare:
   • @ = WindowFiles

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Vechea valoare:
   • @ = %setarile utilizatorului%
   Noua valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • Check_Associations = %setarile utilizatorului%
   Noua valoare:
   • Check_Associations = No

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Vechea valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1
   Noua valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Vechea valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Noua valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com"

– [HKCR\ftp\shell\open\command]
   Vechea valoare:
   • @ = %setarile utilizatorului%
   Noua valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\htmlfile\shell\open\command]
   Vechea valoare:
   • @ = %setarile utilizatorului%
   Noua valoare:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCR\htmlfile\shell\opennew\command]
   Vechea valoare:
   • @ = %setarile utilizatorului%
   Noua valoare:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" %1

– [HKCR\http\shell\open\command]
   Vechea valoare:
   • @ = %setarile utilizatorului%
   Noua valoare:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" -nohome

 Terminarea proceselor Urmatorul proces este oprit:
   • RAVMON.EXE

Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
      IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Backdoor Servere contactate:
Unul dintre:
   • http://upd.etsoft.com.cn/UPD/**********
   • http://upd.etsoft.com.cn/upd/**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Gherman su venerdì 28 luglio 2006
Descrizione aggiornata da Andrei Gherman su venerdì 28 luglio 2006

Indietro . . . .