Имя:TR/PSW.Raven.A
Обнаружен:10/03/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:31.913 байт.
Контрольная сумма MD5:8b0908665655c086ae2277f913ec9a86
Версия VDF:6.34.00.26

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\msoff.exe



Создаются следующие файлы:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Файл является безвредным текстовым файлом со следующим содержимым:
   • %похищенная информация%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%случайная буквенная комбинация% Файл является безвредным текстовым файлом со следующим содержимым:
   • %похищенная информация%

%TEMPDIR%\jav2.tmp Дальнейшие исследования выявили, что данный файл является вредоносной программой.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Содержит используемые вредоносным ПО параметры
– %ALLUSERSPROFILE%\raven2BG_%случайная буквенная комбинация%dat Файл служит меткой внутренней процедуры.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Backdoor Открывается порт:

– svchost.exe к произвольному TCP порту чтобы обеспечить Socks5 прокси-сервер.


Устанавливает соединение с сервером
Все последующие:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

В результате может пересылаться информация.

Передает информацию о:
    • Созданный лог-файл
    • Текущий пользователь
    • IP адрес
    • Открытый порт
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Запуск программы контроля клавиатуры

 Кража Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Запуск функции протоколирования при посещении веб-страницы со следующей последовательностью в URL:
   • %переданный параметр%

– Протоколируется:
    • Информация об окне
    • Регистрационная информация

 Инфицирование –  Следующий файл вставляется в процесс: %TEMPDIR%\jav2.tmp

    Все следующие процессы:
   • svchost.exe
   • lsass.exe


 Разное Мьютекс:
Создаются мьютексы:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG 2.0

Описание добавил Andrei Gherman в(о) среда, 15 марта 2006 г.
Описание обновил Andrei Gherman в(о) среда, 15 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.