English
Deutsch
Français
Español
Italiano
Home
Minacce
TR/Drop.Bomka.G.2
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Drop.Bomka.G.2 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Drop.Bomka.G.2
Scoperto:
09/02/2006
Tipo:
Trojan
Sottotipo:
Dropper
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
185.953 Byte
Somma di controllo MD5:
141dd10Ecaaffae90828993c1f2aab70
Versione VDF:
6.33.00.212
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Mcafee: AdClicker-DW
• TrendMicro: TROJ_BOMKA.G
• Sophos: Troj/Bombka-F
• Panda: Trj/Dropper.QN
• Bitdefender: Trojan.Downloader.Bomka.G
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Effetti secondari:
• Duplica file
• Clona un file “maligno”
• Modifica del registro
• Sottrae informazioni
File
Vengono creati i seguenti file:
– Un file ad uso temporaneo che può essere cancellato in seguito:
•
%TEMPDIR%
\ns
%stringa di caratteri casuale%
.tmp
–
%SYSDIR%
\kaboom.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Bomka.G
–
%TEMPDIR%
\game1.exe Viene eseguito ulteriormente dopo che è stato completamente creato.
Registro
Registra un “browser helper object” (BHO) aggiungendo le seguenti chiavi:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
• @="Labspak"
– [HKCR\Horde.Labspak\CLSID]
• @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"
– [HKCR\Horde.Labspak\CurVer]
• @="Horde.Labspak.1"
– [HKCR\Horde.Labspak.1]
• @="Labspak"
– [HKCR\Horde.Labspak.1\CLSID]
• @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
• @="Labspak"
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
• @="
%SYSDIR%
\kaboom.dll"
• "ThreadingModel"="Apartment"
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
• @="Horde.Labspak.1"
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
• @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
VersionIndependentProgID]
• @="Horde.Labspak"
– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
• @="KABOOMLib"
– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
• @="
%SYSDIR%
\kaboom.dll"
– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
• @="0"
– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
• @="
%SYSDIR%
\"
Vengono aggiunte le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Zeal]
• "campaign_id"="18"
• "is_dialup"=dword:
%numero esadecimale%
• "user_id"="
%stringa casuale di sei caratteri%
"
• "sleep_delay"=dword:
%numero esadecimale%
• "install_delay"=dword:
%numero esadecimale%
• "main_delay"=dword:
%numero esadecimale%
• "stage"=dword:
%numero esadecimale%
• "timeout"=dword:
%numero esadecimale%
– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
• @="ILabspak"
– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
ProxyStubClsid]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
ProxyStubClsid32]
• @="{00020424-0000-0000-C000-000000000046}"
– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
• @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
• "Version"="3.0"
Backdoor
Contatta il server:
Uno dei seguenti:
• joywebserfer.com/counter11/**********
• cleverhead.info/counter11/**********
• wannabcool.info/counter11/**********
• somethngcool.info/counter11/**********
• sortbycool.info/counter11/**********
• mucho-cool.com/counter11/**********
• epromosystems.com/counter11/**********
Il seguente:
• mucho-cool.com/counter11/**********
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
La risposta dei server è scritta nel file:
%TEMPDIR%
\s32o.%random number%
Invia informazioni riguardanti:
• Nome del computer
• Utente corrente
• Tipo di connessione a internet
• ID della piattaforma
Capacità di controllo remoto:
• Visitare un sito web
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo: kaboom.dll
Nome del processo:
• iexplore.exe
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Daniel Constantin il Tue, 14 Feb 2006 09:21 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Tue, 14 Feb 2006 09:37 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce 
Stampa questa pagina
.gif)
