TR/Proxy.Wopla.Q.4 - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Proxy.Wopla.Q.4
Descoperit pe data de:	02/02/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	20.992 Bytes
MD5:	f021056fd653f96ea629dd6bfca6d444
Versiune VDF:	6.33.00.187

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Symantec: Trojan.Tannick.B
   • Kaspersky: Trojan-Proxy.Win32.Wopla.q
   • Bitdefender: Trojan.Proxy.Wopla.Q

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\%sir de 8 caractere aleatoare%.exe

Sterge copia initiala a virusului.

Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
• %SYSDIR%\xtempx.xxx

– %SYSDIR%\%sir de 8 caractere aleatoare%.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Proxy.Wopla.Q.1

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"

– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
   InProcServer32]
   • @="%SYSDIR%\%dll malware%"
   • "ThreadingModel"="Apartment"

Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Placeholder_Datagl"=%valori hex%gl.secd**********%valori hex%gl.nulladd**********%valori hex%

Email Contine un motor SMTP integrat, pentru a trimite spam prin email. Astfel se va conecta direct la serverul destinatar. Caracteristicile sunt:

De la:
Adresa este falsificata.
Adrese obţinute de pe Internet. Vă rugăm nu presupuneţi că a fost intenţia expeditorului să vă trimită acest email. Este posibil ca el să nu ştie că este infectat sau chiar să nu aibă sistemul infectat. În plus, este posibil să primiţi email-uri returnate care să vă indice că sunteţi infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese obţinute de pe Internet.

Subiect:
Urmatorul:
• %descarcat de pe internet%

Corpul email-ului:
Corpul email-ului este:
• %descarcat de pe internet%

Backdoor Deschide portul

– %WINDIR%\explorer.exe port TCP aleator pentru a functiona ca server proxy Socks 5,

Servere contactate:
Urmatorul:
   • gl.secd**********

Astfel se obtine control la distanta.

Posibilitati de control la distanta:
    • trimitere email-uri
    • Vizitarea unui website

Alte informatii Mutex:
Creeaza urmatorul mutex:
• rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• PECompact

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Mon, 06 Mar 2006 16:37 (GMT+1)
Descriere actualizata de Daniel Constantin la Thu, 09 Mar 2006 16:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back