Nume:TR/Spy.Haxspy.AE
Descoperit pe data de:21/07/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.824 Bytes
MD5:9471026d4c6e1911e317af28ac259a6b
Versiune VDF:6.34.01.155
Versiune IVDF:6.34.01.161 - martedì 30 maggio 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Este creat fisierul:

– %SYSDIR%\wndtx1.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Bolol.A.4

– %SYSDIR%\ipudpb2.sys Detectat ca: TR/Spy.Haxspy.AE

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%combinatie de caractere aleatoare%[%numele utilizatorului curent% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Vechea valoare:
   • "PendingFileRenameOperations"=%valori hex%
   Noua valoare:
   • "PendingFileRenameOperations"=%valori hex%

 Backdoor Servere contactate:

   • http://www.salidol.biz/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Utilizatorul curent
    • Informatiile colectate, descrise in sectiunea
    • Informatii despre sistemul de operare

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • http://www.e-gold.com
   • %orice site HTTPS care contine un formular de autentificare%

– Face captura la:
    • Informatii legate de fereastra
    • Fereastra navigatorului Internet
    • Informatii de logare

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\wndtx1.dll

    Urmatoarele procese:
   • iexplore.exe
   • %toate procesele pornite dupa ce virusul este activ in memorie%


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtCreateProcess
   • NtCreateProcessEx
   • ZwCreateProcess
   • ZwCreateProcessEx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Descrizione inserita da Monica Ghitun su venerdì 21 luglio 2006
Descrizione aggiornata da Monica Ghitun su mercoledì 2 agosto 2006

Indietro . . . .