TR/Drop.Bomka.G.2 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Drop.Bomka.G.2
Data em que surgiu:	09/02/2006
Tipo:	Trojan
Subtipo:	Dropper
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	185.953 Bytes
MD5 checksum:	141dd10Ecaaffae90828993c1f2aab70
Versão VDF:	6.33.00.212

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: AdClicker-DW
   • TrendMicro: TROJ_BOMKA.G
   • Sophos: Troj/Bombka-F
   • Panda: Trj/Dropper.QN
   • Bitdefender: Trojan.Downloader.Bomka.G

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
• %TEMPDIR%\ns%uma série de caracteres aleatórios%.tmp

– %SYSDIR%\kaboom.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Bomka.G

– %TEMPDIR%\game1.exe Além disso executa-se depois de gerado.

Registry (Registo do Windows) Regista um Objecto de Ajuda do Browser(BHO) adicionando as seguintes chaves ao registo do Windows :

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
   • @="Labspak"

– [HKCR\Horde.Labspak\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\Horde.Labspak\CurVer]
   • @="Horde.Labspak.1"

– [HKCR\Horde.Labspak.1]
   • @="Labspak"

– [HKCR\Horde.Labspak.1\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
   • @="Labspak"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
   • @="%SYSDIR%\kaboom.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
   • @="Horde.Labspak.1"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
   VersionIndependentProgID]
   • @="Horde.Labspak"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
   • @="KABOOMLib"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
   • @="%SYSDIR%\kaboom.dll"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
   • @="%SYSDIR%\"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Zeal]
   • "campaign_id"="18"
   • "is_dialup"=dword:%número hexadecimal%
   • "user_id"="%seis caracteres aleatórios%"
   • "sleep_delay"=dword:%número hexadecimal%
   • "install_delay"=dword:%número hexadecimal%
   • "main_delay"=dword:%número hexadecimal%
   • "stage"=dword:%número hexadecimal%
   • "timeout"=dword:%número hexadecimal%

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
   • @="ILabspak"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
   • "Version"="3.0"

Backdoor Contacta o servidor:
Um dos seguintes:
   • joywebserfer.com/counter11/**********
   • cleverhead.info/counter11/**********
   • wannabcool.info/counter11/**********
   • somethngcool.info/counter11/**********
   • sortbycool.info/counter11/**********
   • mucho-cool.com/counter11/**********
   • epromosystems.com/counter11/**********

Seguinte:
   • mucho-cool.com/counter11/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.
A resposta do servidors é escrita no ficheiro: %TEMPDIR%\s32o.%random number%

Envia informação sobre:
    • Nome do computador
    • Utilizador Actual
    • Tipo de ligação à Internet
    • Platform ID

Capacidades de controlo remoto:
    • Visita um Web site

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: kaboom.dll

Nome do processo:
• iexplore.exe

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 14 Feb 2006 09:21 (GMT+1)
Descrição adicionada por Daniel Constantin em Tue, 14 Feb 2006 09:37 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back