Nume:TR/NSAnti.A.319
Descoperit pe data de:29/05/2006
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:283.656 Bytes
MD5:5164477c6eac422c840Dbf1d658f599b
Versiune VDF:6.34.01.29
Versiune IVDF:6.34.01.30 - quarta-feira, 3 de maio de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  TrendMicro: BKDR_HUIGEZI.W
   •  Bitdefender: Trojan.NSAnti.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\GAME.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– Un fisier temporar care poate fi sters dupa aceea:
   • %WINDIR%\uninstal.bat




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %WINDIR%\uninstal.bat
Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\Colume]
   • "Description"="╣▄└φ▒╕╖▌,╣╪▒╒║≤╜½▓╗─▄╜°╨╨╧╡═│╗╣╘¡"
   • "ImagePath"="%WINDIR%\GAME.exe"
   • "ObjectName"="LocalSystem"
   • "DisplayName"="Colume"
   • "ErrorControl"=dword:00000000
   • "Start"=dword:00000002
   • "Type"=dword:00000110

– [HKLM\SYSTEM\ControlSet001\Services\Colume\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000]
   • "DeviceDesc"="Colume"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "Class"="LegacyDriver"
   • "ConfigFlags"=dword:00000000
   • "Legacy"=dword:00000001
   • "Service"="Colume"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000010

 Backdoor Servere contactate:

   • http://qcqcz.bd7x.com/**********

In plus, conexiunea e reluata periodic.

Trimte informatii despre:
    • Numele sistemului
    • Informatii despre sistemul de operare

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Alexandru Tudor em segunda-feira, 29 de maio de 2006
Descrição atualizada por Alexandru Tudor em terça-feira, 6 de junho de 2006

Voltar . . . .