Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Obisty.A
Descoperit pe data de:19/12/2012
Tip:Troian
ITW:Nu
Numar infectii raportate:Mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:148.992 Bytes
MD5:89FA070B12AEE94C97F15AFBC8404E00
Versiune VDF:7.11.54.86 - miercuri, 19 decembrie 2012
Versiune IVDF:7.11.54.86 - miercuri, 19 decembrie 2012

 General Metoda de raspandire:
   • Prin vizitarea de pagini web infectate

Detectii similare:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\KB%sir de 8 caractere aleatoare%.exe



Este creat fisierul:

%TEMPDIR%\exp3.tmp.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%sir de 8 caractere aleatoare% .exe

 Backdoor Servere contactate:
Unul dintre:
   • http://84.22.100.108:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://182.237.17.180:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://123.49.61.59:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://204.15.30.202:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://64.76.19.236:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://59.90.221.6:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://210.56.23.100:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://94.73.129.120:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.143.174.136:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://203.217.147.52:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.207.237.170:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://23.29.73.220:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://69.64.89.82:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.63.229.10:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.86.113.66:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.121.188.156:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://50.22.94.96:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://173.203.102.204:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://74.117.107.25:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://174.142.68.239:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.212.156.170:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.120.226.30:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://78.28.120.32:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://217.65.100.41:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://81.93.250.157:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%
   • http://188.40.109.204:8080/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%/%combinatie de caractere aleatoare%

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face prin metoda HTTP POST, folosind un script PHP.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread in procese.

Este injectat in toate procesele.


 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

설명 삽입자 Liviu Serban   2012년 12월 19일 수요일
설명 업데이트 Andrei Gherman   2012년 12월 19일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.