Имя:TR/Spy.Bancodor.AB
Обнаружен:12/04/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:41.472 байт.
Контрольная сумма MD5:62417a81023a5ae1dfce61709824d49b
Версия VDF:6.34.00.176

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Bancodor.ab
   •  TrendMicro: TSPY_AGENT.BRF
   •  Bitdefender: Trojan.Spy.Bancodor.A


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %PROGRAM FILES%\Common Files\System\lsass.exe



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%случайная буквенная комбинация%.tmp.log

%SYSDIR%\divx.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %похищенная информация%

%SYSDIR%\winaupd.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Bancodo.AB.2

%SYSDIR%\xvid.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Bancodo.AB.4

%SYSDIR%\nUn.b Содержит используемые вредоносным ПО параметры

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe



Удаляются все значения следующих ключей реестра и их подключей:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Новое значение:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Прежнее значение:
   • Start = %Настройки пользователя%
   Новое значение:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Прежнее значение:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Новое значение:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • SFCDisable = 0
   Новое значение:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Internet Explorer]
   Новое значение:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Новое значение:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Новое значение:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Новое значение:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Новое значение:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Новое значение:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Новое значение:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Новое значение:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Новое значение:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Новое значение:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • SeparateProcess = 0

 Завершение процесса Список завершаемых процессов:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe


 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.southsea.cc/news/**********

В результате может пересылаться информация. Соединение периодически регулярно повторяется. Для этого служит метод HTTP POST с применением PHP скриптов.
Ответ сервера записывается в следующий файл: %SYSDIR%\xvid.ini


Передает информацию о:
    • Кэшированные пароли
    • Созданный лог-файл
    • Переменные окружающей среды
    • Текущий malware статус.
    • Информация о запущенных процессах
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая ве
Описание добавил Andrei Gherman в(о) четверг, 13 апреля 2006 г.
Описание обновил Andrei Gherman в(о) четверг, 13 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.