TR/Spy.Goldun.HW - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Spy.Goldun.HW
Data em que surgiu:	27/02/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	26.713 Bytes
MD5 checksum:	3135de8c7d51db981a36c372bb5c170A
Versão VDF:	6.33.01.33

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.hw
   • Sophos: Troj/Haxdoor-AX
   • Bitdefender: Trojan.Dropper.Goldspy.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros São criados os seguintes ficheiros:

– Ficheiro não malicioso:
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Proxy.Goldun.HW

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%números aleatórios entre 0 e 9%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

Cria as seguintes entradas de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

Backdoor São abertas as seguintes portas:

– winlogon.exe numa porta TCP aleatória
– winlogon.exe numa porta TCP 4040 Para fornecer acesso Shell remoto.

Contacta o servidor:
Seguinte:
   • korolevlist.com/nuc/**********

Como resultado pode enviar alguma informação. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.

Envia informação sobre:
    • Endereço IP
    • Porta aberta
    • Informação recolhida na secção de roubos.
    • Informação sobre o sistema operativo Windows

Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de visitar um Web site:
• %qualquer web site HTTPS que tenha um formulário de login%
• Informação de login

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: directpt.dll

    Todos os processos que se seguem:
   • winlogon.exe
   • explorer.exe
   • %são iniciados todos os processos logo que o malware fica activo na memória%

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.

Oculta o seguinte:
– Os seus próprios ficheiros
– O seu próprio processo

Forma utilizada
• Esconde-se na API do Windows

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 28 Feb 2006 12:15 (GMT+1)
Descrição adicionada por Daniel Constantin em Thu, 09 Mar 2006 14:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back