Полное описание

Имя:	BDS/Ginwui.A.4
Обнаружен:	22/05/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	73.245 байт.
Контрольная сумма MD5:	6d69ab10c2e8194465ab25cbfb96dae6
Версия VDF:	6.34.01.120

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Backdoor.Ginwui.B
   • Mcafee: BackDoor-CKB
   • Kaspersky: Backdoor.Win32.Ginwui.a
   • TrendMicro: BKDR_GINWUI.B
   • Bitdefender: Backdoor.Ginwui.B

Операционные системы:
   • Windows NT
   • Windows 2000
   • Windows XP

Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %TEMPDIR%\20060426.bak

Выполненная копия программы удаляется.

Создаются следующие файлы:

– %SYSDIR%\zsydll.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Ginwui.A.DLL

– %SYSDIR%\zsyhide.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Ginwui.A

Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0

Изменяется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Новое значение:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

Backdoor Устанавливает соединение с сервером
Следующий:
• http://scfzf.xi**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Соединение периодически регулярно повторяется.

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\zsydll.dll

Имя процесса:
• iexplore.exe

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Andrei Gherman в(о) понедельник, 22 мая 2006 г.
Описание обновил Andrei Gherman в(о) понедельник, 22 мая 2006 г.

Назад . . . .