Имя:TR/Spy.Goldun.CI
Обнаружен:11/10/2005
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:10.296 байт.
Контрольная сумма MD5:AC5F9A4561DC118AD143CFF3331B9B4E
Версия VDF:6.32.00.77

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Kaspersky: Trojan-Spy.Win32.Goldun.ci


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Выполненная копия программы удаляется.



Создается файл:

%SYSDIR%\msgalo.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Goldun.ci.2

 Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}]
   • "plugin"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,c4,f4,d7,b2,40,91,21,52,08,97,d2
   • "notify"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,34,ec,df,c2,48,29,21,72,98,9f,da
   • "sbanker0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,\ 8c,9f,95,25,78,16,54,9c,0f,d2,60,41,21,52,f7,2f,0b
   • "form0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,c4,04,07,4a,c0,93,f3,32,68,06
   • "tripp0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,dc,14,0d,0a,38,61,52

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}\InprocServer32]
   • @="%SYSDIR%\msgalo.dll"
   • "ThreadingModel"="Apartment"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://hothosts.co.uk/**********/collect.php

Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • IP адрес
    • Полученная из похищенного блока информация

 Кража – После посещения следующей веб-страницы была запущена функция протоколирования:
   • www.e-gold.com

– Протоколируется:
    • Информация об окне
    • Регистрационная информация

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Andrei Gherman в(о) вторник, 11 октября 2005 г.
Описание обновил Andrei Gherman в(о) пятница, 14 октября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.