Имя:TR/Dldr.Krepper.G.2
Обнаружен:19/09/2005
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:26.624 байт.
Контрольная сумма MD5:105b31a167a5d9751ac15c3032394513
Версия VDF:6.26.0.8

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\inetdata\services.exe



Разделы добавляются в файл.
– Кому: %WINDIR%\System.ini Со следующим содержимым:
   • load=%WINDIR%\inetdata\winlogon.exe




Создается файл:

%WINDIR%\inetdata\version.txt



Попытка загрузки следующих файлов:

– Следующий URL:
   • **********.com/gallerys/xpsystem/3.00.36.exe
Сохраняется локально в: %WINDIR%\inetdata\winlogon.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.CWS.h.1.B


– Следующий URL:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Сохраняется локально в: %WINDIR%\inetdata\3.00.09.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Delf.BV.1

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



С добавлением следующего ключа регистрируется BHO (browser helper object):

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Добавляются следующие ключи реестра:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%случайная буквенная комбинация%

 Backdoor Устанавливает соединение с сервером
Следующий:
   • **********.com/gallerys/xpsystem/version.txt.php?

В результате обеспечиваются функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.
Ответ сервера записывается в следующий файл: %WINDIR%\inetdata\version.txt


Возможности удаленного контроля:
    • Загрузить файл

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Описание добавил Irina Boldea в(о) понедельник, 19 сентября 2005 г.
Описание обновил Irina Boldea в(о) вторник, 27 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.