Descrizione completa

Nume:	TR/Spy.BZub.GM
Descoperit pe data de:	01/02/2007
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	92.888 Bytes
MD5:	9344dfb9f65beef177b148ce0f5ad071
Versiune VDF:	6.37.01.10 - giovedì 1 febbraio 2007
Versiune IVDF:	6.37.01.10 - giovedì 1 febbraio 2007

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-Spy.Win32.BZub.hv
   • F-Secure: Trojan-Spy.Win32.BZub.hv
   • Sophos: Troj/Dloadr-ASR

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Sustrage informatii

Fisiere Sterge urmatoarele fisiere:
   • %PROGRAM FILES%\Mozilla Firefox\xpcom.dll
   • %PROGRAM FILES%\Mozilla Firefox\softokn3.dll
   • %PROGRAM FILES%\Mozilla Firefox\nss3.dll
   • %PROGRAM FILES%\Mozilla Firefox\js3250.dll
   • %PROGRAM FILES%\Opera\opera.dll
   • %PROGRAM FILES%\Opera\spellcheck.dll

Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\info.txt
   • c:\1.txt

– %SYSDIR%\ipv6monl.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.BZub.HV

– c:\1.bat

Registrii sistemului Valorile urmatoarei chei sunt sterse din registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • h
   • wspopp
   • forwas
   • nw
   • worg
   • cryptpa
   • tas
   • tannumr
   • tantotl
   • taloinata
   • pops
   • ip
   • scrensos
   • faddress
   • fter
   • ftass
   • uincl
   • pstincl
   • ptexcl

Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarelor chei in registri:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Enable Browser Extensions"="yes"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
   • "ThreadingModel"="apartment"
   • "(Default)"="%SYSDIR%\ipv6monl.dll"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKCR\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   browser helper objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"="%PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "cmpid"=%valori hex%
   • "worg"=%valori hex%
   • "net_insll"=%data curenta%
   • "info_sze"=%valori hex%
   • "ino"=%valori hex%
   • "timeu"=%data calendaristica din viitor%
   • "h"=%data calendaristica din viitor%

Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • https://banking.*.de/
   • e-gold.com
   • banking.postbank.de
   • https://*.netbank.commbank.com.au/netbank/bankmain
   • signin.ebay.com
   • https://sitekey.bankofamerica.com/
   • https://my.if.com/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra
    • Informatii de logare

Descrizione inserita da Cristian Dobre su venerdì 2 febbraio 2007
Descrizione aggiornata da Andrei Ivanes su mercoledì 28 febbraio 2007

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti