Nume:TR/Oficla.AA
Descoperit pe data de:07/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:34.816 Bytes
MD5:ee97199dec81e92d2a1013c827afd5bc
Versiune IVDF:7.10.09.29 - mercoledì 7 luglio 2010

 General Metoda de raspandire:
   • Email


Sistem de operare:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\svchost.exe



Sunt create fisierele:

– %TEMPDIR%\tmpf5c96f2a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
– %temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
– %temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.um**********oom5.gif
Fisierul este stocat pe hard disc la: %TEMPDIR%\system.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Ikcie]
   • %valori hex%

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • DHL Tracking Number %sir de caractere%



Corpul email-ului:
Corpul email-ului este:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


Atasament:
Numele fisierului atasat este urmatorul:
   • DHL_INVOICE23.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Patrick Schoenherr su mercoledì 7 luglio 2010
Descrizione aggiornata da Patrick Schoenherr su mercoledì 7 luglio 2010

Indietro . . . .