Имя:TR/Tcom.2
Обнаружен:20/07/2005
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:26.624 байт.
Контрольная сумма MD5:8e3cf147f6d642b4e0808cec743d856e
Версия VDF:6.31.0.234

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\windldra.exe



Удаляется следующий файл:
   • %WINDIR%\send_logs_trigger



Создаются следующие файлы:

%WINDIR%\netdx.dat Файл служит меткой внутренней процедуры.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm Файл содержит строки введенных с клавиатуры символов
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



Добавляются следующие ключи реестра:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%случайная буквенная комбинация%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com




Модифицированный хост-файл выглядит следующим образом:


 Backdoor Открываются следующие порты:

%выполненный файл% к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
%выполненный файл% по TCP порту 9125 для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • http://222.36.41.**********/system32/logger.php

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Созданный лог-файл
    • Информация о сети
    • ID платформы

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне
    • Окно веб-браузера
    • Регистрационная информация

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • Internet Explorer


Описание добавил Sergiu Oprea в(о) среда, 3 августа 2005 г.
Описание обновил Oliver Auerbach в(о) вторник, 18 октября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.