Имя:TR/PSW.Small.BS.2
Обнаружен:12/09/2006
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:12.592 байт.
Контрольная сумма MD5:978ded8c7055e4c5e650600D2fcc0C3f
Версия VDF:6.35.01.216
Версия IVDF:6.35.01.220 - среда, 13 сентября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %WINDIR%\9129837.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%WINDIR%\hide_evr2.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Small.BS.3

%Рабочая папка вредоносной программы%\a.bat Данный batch-файл используется для удаления файла.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%случайная буквенная комбинация%
   • "k2"=%случайная буквенная комбинация%

 Backdoor Открывается порт:
к произвольному UDP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Все последующие:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.


Передает информацию о:
    • Текущий malware статус.
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая ве
Описание добавил Marius T. Nicolae в(о) пятница, 22 сентября 2006 г.
Описание обновил Andrei Ivanes в(о) четверг, 19 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.