Nume:TR/Drop.Decay.atv
Descoperit pe data de:23/10/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:70.656 Bytes
MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Versiune IVDF:7.01.06.142 - venerdì 23 ottobre 2009

 General Metoda de raspandire:
• Functia autorun


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\conmsyrtl.exe
   • %unitate disc%\driver\usb\usb3.EXE



Sunt create fisierele:

%unitate disc%\driver\usb\Desktop.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%directorul de activare malware%\%fisier executat%"="%directorul de activare malware%\%fisier executat%:*:Enabled:Sistema de Comm"

 P2P     Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Daca reuseste, sunt create urmatoarele fisiere:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Aceste fişiere sunt copii ale malware-ului.

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– MSN Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ns3.metr**********.com
Port: 6567
Parola serverului: pr1v4d0onl1n3r
Canal: #delawich#
Nick: [SH|USA|00|P|%numar%]
Parola: c1rc0s0leil


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • Se actualizeaza singur
    • Vizitarea unui website

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Petre Galan su mercoledì 3 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 5 febbraio 2010

Indietro . . . .