Полное описание

Имя:	TR/PSW.PdP.CT.1.E.3
Обнаружен:	17/03/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	24.302 байт.
Контрольная сумма MD5:	741f81f6154bd5115028579dcb9da082
Версия VDF:	6.34.00.61

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдоним (alias):
   • Kaspersky: Trojan-Spy.Win32.Goldun.iw
   • VirusBuster: Rootkit.Agent.10
   • Bitdefender: Trojan.Spy.Goldun.IW

Операционные системы:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются следующие файлы:

– %SYSDIR%\axdebugl.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Haxdoor.GJ.1

– %SYSDIR%\axdebugld.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.PdP.CT.1.E.3

Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\axdebugl.sys"
   • "DisplayName"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
   • "Security"=%шестнадцатиричное значение%

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
   • "0"="Root\\LEGACY_AXDEBUGLD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
   • "Service"="axdebugld"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="axdebugld"

Добавляется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   axdebugl
   • "DllName"="axdebugl.dll"
   • "Startup"="axdebugl"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[%Шестнадцатиричное число%]"

Backdoor Устанавливает соединение с сервером
Следующий:
   • servername1.com/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Соединение периодически регулярно повторяется. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Кэшированные пароли
    • Полученная из похищенного блока информация

Кража Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Пароли следующих программ:
   • Miranda
   • Internet Explorer
   • Mozilla
   • Maxthon
   • The Bat
   • Msn
   • Icq
   • Opera

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • e-gold.com

Инфицирование – Следующий файл вставляется в процесс: axdebugl.sys

Имя процесса:
• explorer.exe

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Sergiu Oprea в(о) понедельник, 10 апреля 2006 г.
Описание обновил Sergiu Oprea в(о) вторник, 11 апреля 2006 г.

Назад . . . .