Nume:BDS/Ginwui.A.4
Descoperit pe data de:22/05/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:73.245 Bytes
MD5:6d69ab10c2e8194465ab25cbfb96dae6
Versiune VDF:6.34.01.120

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Ginwui.B
   •  Mcafee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


Sistem de operare:
   • Windows NT
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\20060426.bak



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\zsydll.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Ginwui.A.DLL

– %SYSDIR%\zsyhide.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Ginwui.A

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Noua valoare:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 Backdoor Servere contactate:
Urmatorul:
   • http://scfzf.xi**********

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\zsydll.dll

    Numele procesului:
   • iexplore.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrição enviada por Andrei Gherman em segunda-feira, 22 de maio de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 22 de maio de 2006

Voltar . . . .