Nume:TR/Enfal.E
Descoperit pe data de:05/08/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:65.586 Bytes
MD5:a6707ce1a445eb7f75abdb82b23dbd8c
Versiune VDF:6.35.01.53 - sábado, 5 de agosto de 2006
Versiune IVDF:6.35.01.53 - sábado, 5 de agosto de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Enfal
   •  Kaspersky: Trojan.Win32.Enfal.d
   •  TrendMicro: WORM_AGENT.DJI
   •  Bitdefender: Trojan.Enfal.D


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\Winkrnl.exe
   • %SYSDIR%\DisMgnt.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Vechea valoare:
   • "Userinit"="%sysdir%\userinit.exe,"
   Noua valoare:
   • "Userinit"="%sysdir%\userinit.exe,%sysdir%\DisMgnt.exe"

 Backdoor Servere contactate:
Unul dintre:
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********

Urmatorul:
   • http://www.luck4us.com**********

Astfel se pot transmite informatii. In plus, conexiunea e reluata periodic. Aceasta se face prin metoda HTTP POST, folosind un script CGI.


Trimte informatii despre:
    • Numele sistemului
    • adresa MAC

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • %WINDIR%\explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrição enviada por Teodor Onisor em terça-feira, 8 de agosto de 2006
Descrição atualizada por Teodor Onisor em terça-feira, 8 de agosto de 2006

Voltar . . . .