Имя:TR/Nichgig
Обнаружен:28/06/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:10.901 байт.
Контрольная сумма MD5:62c776499583a39c3e613ead52e23c9c
Версия VDF:6.35.00.87
Версия IVDF:6.35.00.95 - четверг, 29 июня 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Trojan.Gobrena
   •  Mcafee: PWS-Goldun.dr
   •  Kaspersky: Trojan-Spy.Win32.Goldun.mf
   •  F-Secure: Trojan-Spy.Win32.Goldun.mf
   •  VirusBuster: TrojanSpy.Goldun.LG
   •  Eset: Win32/Spy.Goldun.LX


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы  Создается следующая директория:
   • %TEMPDIR%\4185XXXX



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\4185XXXX\%Число%.tmp

%SYSDIR%\hdtvu6.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Goldun.ME

%SYSDIR%\nkudpn1.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Nichgig

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%шестнадцатиричное значение%



Добавляется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%Число%[%current user%]"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • www.proxyland.net/**********

В результате может пересылаться информация. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Полученная из похищенного блока информация
    • Информация об операционной системе Windows

 Кража Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • https://www.e-gold.com/acct/login.html

– Протоколируется:
    • Регистрационная информация

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\hdtvu6.dll

    Имя процесса:
   • %каждый вновь запущенный процесс
      после определения находящихся в
      памяти активных потенциально опасных
      программ%


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Teodor Onisor в(о) вторник, 19 сентября 2006 г.
Описание обновил Teodor Onisor в(о) среда, 20 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.