Имя:TR/Drop.Bomka.G.2
Обнаружен:09/02/2006
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:185.953 байт.
Контрольная сумма MD5:141dd10Ecaaffae90828993c1f2aab70
Версия VDF:6.33.00.212

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: AdClicker-DW
   •  TrendMicro: TROJ_BOMKA.G
   •  Sophos: Troj/Bombka-F
   •  Panda: Trj/Dropper.QN
   •  Bitdefender: Trojan.Downloader.Bomka.G


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\ns%случайная буквенная комбинация%.tmp

%SYSDIR%\kaboom.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Bomka.G

%TEMPDIR%\game1.exe После полного завершения процесса создания он запускается на выполнение.

 Реестр С добавлением следующих ключей регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
   • @="Labspak"

– [HKCR\Horde.Labspak\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\Horde.Labspak\CurVer]
   • @="Horde.Labspak.1"

– [HKCR\Horde.Labspak.1]
   • @="Labspak"

– [HKCR\Horde.Labspak.1\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
   • @="Labspak"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
   • @="%SYSDIR%\kaboom.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
   • @="Horde.Labspak.1"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
   VersionIndependentProgID]
   • @="Horde.Labspak"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
   • @="KABOOMLib"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
   • @="%SYSDIR%\kaboom.dll"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
   • @="%SYSDIR%\"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Zeal]
   • "campaign_id"="18"
   • "is_dialup"=dword:%Шестнадцатиричное число%
   • "user_id"="%случайная комбинация из шести букв%"
   • "sleep_delay"=dword:%Шестнадцатиричное число%
   • "install_delay"=dword:%Шестнадцатиричное число%
   • "main_delay"=dword:%Шестнадцатиричное число%
   • "stage"=dword:%Шестнадцатиричное число%
   • "timeout"=dword:%Шестнадцатиричное число%

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
   • @="ILabspak"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
   • "Version"="3.0"

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • joywebserfer.com/counter11/**********
   • cleverhead.info/counter11/**********
   • wannabcool.info/counter11/**********
   • somethngcool.info/counter11/**********
   • sortbycool.info/counter11/**********
   • mucho-cool.com/counter11/**********
   • epromosystems.com/counter11/**********

Следующий:
   • mucho-cool.com/counter11/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.
Ответ сервера записывается в следующий файл: %TEMPDIR%\s32o.%random number%


Передает информацию о:
    • Имя компьютера
    • Текущий пользователь
    • Тип Интернет-соединения
    • ID платформы


Возможности удаленного контроля:
    • Посещение веб-страницы

 Инфицирование –  Следующий файл вставляется в процесс: kaboom.dll

    Имя процесса:
   • iexplore.exe


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Daniel Constantin в(о) вторник, 14 февраля 2006 г.
Описание обновил Daniel Constantin в(о) вторник, 14 февраля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.