TR/Spy.Goldun.HW - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Spy.Goldun.HW
Descoperit pe data de:	27/02/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	26.713 Bytes
MD5:	3135de8c7d51db981a36c372bb5c170A
Versiune VDF:	6.33.01.33

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.hw
   • Sophos: Troj/Haxdoor-AX
   • Bitdefender: Trojan.Dropper.Goldspy.A

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Fisiere Sunt create fisierele:

– Fisier inofensiv:
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Goldun.HW

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%cateva numere aleatoare de la 0 la 9%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

Creeaza urmatoarea valoare, pentru a trece de Windows firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

Backdoor Deschide porturile:

– winlogon.exe port TCP aleator
– winlogon.exe pe portul TCP 4040 pentru a crea remote Shell.

Servere contactate:
Urmatorul:
   • korolevlist.com/nuc/**********

Astfel se pot transmite informatii. Se foloseste metoda HTTP GET si POST printr-un script PHP.

Trimte informatii despre:
    • Adresa IP
    • Port deschis
    • Informatiile colectate, descrise in sectiunea
    • Informatii despre sistemul de operare

Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce un site este vizitat:
• %orice site HTTPS care contine un formular de autentificare%
• Informatii de logare

Injectarea codului malware in alte procese – Injecteaza fisierul urmator intr-un proces: directpt.dll

    Urmatoarele procese:
   • winlogon.exe
   • explorer.exe
   • %toate procesele pornite dupa ce virusul este activ in memorie%

Tehnologie Rootkit Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.

Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces

Metoda folosita:
• Ascuns de Windows API

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• FSG

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Tue, 28 Feb 2006 12:15 (GMT+1)
Descriere actualizata de Daniel Constantin la Thu, 09 Mar 2006 14:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back