Имя:TR/Dldr.CWS.h.1.B
Обнаружен:19/09/2005
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:13.824 байт.
Контрольная сумма MD5:3bb19c92f33d0b89cf823bacea72efa9
Версия VDF:6.32.0.38

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\inetdata\services.exe



Разделы добавляются в файл.
– Кому: %WINDIR%\system.ini Со следующим содержимым:
   • load=%WINDIR%\inetdata\services.exe
     




Создается файл:

%WINDIR%\inetdata\tmp



Попытка загрузки следующих файлов:

– Следующий URL:
   • traff-**********.com/ef.exe
Сохраняется локально в: %WINDIR%\ef.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.CWS.C.2


– Следующий URL:
   • traff-**********.com/killer.exe
Сохраняется локально в: %WINDIR%\skiller.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.CWS.A


– Следующий URL:
   • traff-**********.com/socks5.exe
Сохраняется локально в: %WINDIR%\winsocks5.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Proxy.Small.bt.3


– Следующий URL:
   • **********.com/mm.exe
Сохраняется локально в: %WINDIR%\mm1.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.CWS.h.2


– Следующий URL:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Сохраняется локально в: %WINDIR%\inetdata\3.00.09.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Delf.BV.1

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



С добавлением следующего ключа регистрируется BHO (browser helper object):

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Добавляются следующие ключи реестра:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%случайная буквенная комбинация%

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • ID платформы
    • Локальная активность пользователя

 Разное Мьютекс:
Создаются мьютексы:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Irina Boldea в(о) понедельник, 19 сентября 2005 г.
Описание обновил Irina Boldea в(о) вторник, 27 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.