Имя:ADSPY/Boran.O.2
Обнаружен:05/10/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:40.960 байт.
Контрольная сумма MD5:1f4b04a85768205ae5452415dc843e3d
Версия VDF:6.35.01.196
Версия IVDF:6.35.01.200 - пятница, 8 сентября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Eset: Win32/Adware.Boran


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Изменение реестра
   • Использует уязвимость ПО

 Файлы Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.update.borlander.cn/updadini/**********
Сохраняется локально в: %Рабочая папка вредоносной программы%\updadini.ini Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующий URL:
   • http://www.update.borlander.cn/updstd/**********
Сохраняется локально в: %Рабочая папка вредоносной программы%\updstdex.ini Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • http://www.update.borlander.cn/updstd/**********
Сохраняется локально в: %Рабочая папка вредоносной программы%\updstdup.ini Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"



Добавляются следующие ключи реестра:

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%SYSDIR%\stdup.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%Рабочая папка вредоносной программы%\%выполненный файл%"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

– [HKCR\Ad.AxObj]
   • @="stdup"

– [HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

– [HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

– [HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.1.8"
   • "regup"="01c6e9b74e600380"
   • "pid"="30574EFA8247A1B90B30060F409F5F5B"
   • "reg"="30574EFA8247A1B90B30060F409F5F5B"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %Рабочая папка вредоносной программы%\%выполненный файл%,Uninstall"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

– [HKLM\SOFTWARE\Stdup\up]
   • "3.2.1.8"="1"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

После установления соединения вызывается дополнительный список серверов.
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.
    • Время жизни вредоносной программы


Возможности удаленного контроля:
    • Посещение веб-страницы

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) пятница, 6 октября 2006 г.
Описание обновил Andrei Ivanes в(о) пятница, 27 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.