Имя:TR/Spy.Haxspy.AE
Обнаружен:21/07/2006
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:10.824 байт.
Контрольная сумма MD5:9471026d4c6e1911e317af28ac259a6b
Версия VDF:6.34.01.155
Версия IVDF:6.34.01.161 - вторник, 30 мая 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается файл:

%SYSDIR%\wndtx1.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Bolol.A.4

%SYSDIR%\ipudpb2.sys Определен как: TR/Spy.Haxspy.AE

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%случайная буквенная комбинация%[%актуальное имя пользователя% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Прежнее значение:
   • "PendingFileRenameOperations"=%шестнадцатиричное значение%
   Новое значение:
   • "PendingFileRenameOperations"=%шестнадцатиричное значение%

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.salidol.biz/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.


Передает информацию о:
    • Текущий пользователь
    • Полученная из похищенного блока информация
    • Информация об операционной системе Windows

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • http://www.e-gold.com
   • %каждая основанная на HTTPS содержащая лог-форму ве
Описание добавил Monica Ghitun в(о) пятница, 21 июля 2006 г.
Описание обновил Monica Ghitun в(о) среда, 2 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.