Nume:TR/Small.DBY.AF.3
Descoperit pe data de:14/02/2007
Tip:Troian
Subtip:SPY
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:37.747 Bytes
MD5:8617ab4e033c0853cf1766de30cf6589
Versiune VDF:6.37.01.91
Versiune IVDF:6.37.01.92 - mercoledì 14 febbraio 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\wincom32.ini

– %SYSDIR%\wincom32.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Small.DBY.M.1

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 Reţea Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: wincom32.sys

    Numele procesului:
   • %SYSDIR%\services.exe


 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile fisiere
– Propria cheie de registru


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PEPACK

Descrizione inserita da Viktor Graeber su mercoledì 25 aprile 2007
Descrizione aggiornata da Viktor Graeber su venerdì 27 aprile 2007

Indietro . . . .