Nume:TR/Drop.iBill.BD
Descoperit pe data de:24/10/2008
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.297 Bytes
MD5:b8750fa07487b47dc6e1ae54347ddbcb
Versiune IVDF:7.00.07.83 - sexta-feira, 24 de outubro de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 7 caractere aleatoare%.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– Fisier inofensiv:
   • %SYSDIR%\%sir de 6 caractere aleatoare%

– %SYSDIR%\%sir de 8 caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Runner.BG

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %sir de 9 caractere aleatoare%]
   • Startup="%sir de 10 caractere aleatoare%"
   • DLLName="%dll malware%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Backdoor Servere contactate:

   • re**********t.mobi

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 24 de outubro de 2008
Descrição atualizada por Philipp Wolf em sexta-feira, 24 de outubro de 2008

Voltar . . . .