Имя:TR/Proxy.Wopla.Q.4
Обнаружен:02/02/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:20.992 байт.
Контрольная сумма MD5:f021056fd653f96ea629dd6bfca6d444
Версия VDF:6.33.00.187

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Trojan.Tannick.B
   •  Kaspersky: Trojan-Proxy.Win32.Wopla.q
   •  Bitdefender: Trojan.Proxy.Wopla.Q


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Использует собственный почтовый движок
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная комбинация букв из восьми букв%.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\xtempx.xxx

%SYSDIR%\%случайная комбинация букв из восьми букв%.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Proxy.Wopla.Q.1

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"

– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
   InProcServer32]
   • @="%SYSDIR%\%malware dll%"
   • "ThreadingModel"="Apartment"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Placeholder_Datagl"=%шестнадцатиричное значение%gl.secd**********%шестнадцатиричное значение%gl.nulladd**********%шестнадцатиричное значение%

 Email Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:


От:
Адрес отправителя был фальсифицирован.
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– Собранные в Интернете адреса.


Тема:
Следующее:
   • %получено из Интернет%



Тело:
Тело письма имеет следующий вид:
   • %получено из Интернет%

 Backdoor Открывается порт:

%WINDIR%\explorer.exe к произвольному TCP порту чтобы обеспечить Socks5 прокси-сервер.


Устанавливает соединение с сервером
Следующий:
   • gl.secd**********

В результате обеспечиваются функции скрытого удаленного управления.

Возможности удаленного контроля:
    • Отправить электронную почту
    • Посещение веб-страницы

 Разное Мьютекс:
Создается мьютекс:
   • rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PECompact

Описание добавил Daniel Constantin в(о) понедельник, 6 марта 2006 г.
Описание обновил Daniel Constantin в(о) четверг, 9 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.