Имя:TR/PSW.Steal.46592
Обнаружен:03/11/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:94.208 байт.
Контрольная сумма MD5:50dd1445ede1d7aa737a7943a6440811
Версия VDF:6.36.00.207
Версия IVDF:6.36.00.231 - пятница, 3 ноября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Banker.cew
   •  F-Secure: Trojan-Spy.Win32.Banker.cew
   •  Sophos: Troj/Nethell-G


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

 Файлы Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\nethelper.xml
%SYSDIR%\commandhelper.xml
%SYSDIR%\conf.dat
%SYSDIR%\nethelper.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Steal.46592

%SYSDIR%\accs.txt Файл содержит строки введенных с клавиатуры символов
%SYSDIR%\fulllog.txt Файл содержит строки введенных с клавиатуры символов
%SYSDIR%\log.txt Файл содержит строки введенных с клавиатуры символов

 Реестр С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1593C741-C011-46FE-99FC-3805C28328BA}]


Добавляются следующие ключи реестра:

– [HKCR\NetHelper.Hook]
   • @="Hook Class"

– [HKCR\NetHelper.Hook\CLSID]
   • @="{1593C741-C011-46FE-99FC-3805C28328BA}"

– [HKCR\NetHelper.Hook\CurVer]
   • @="NetHelper.Hook.1"

– [HKCR\NetHelper.Hook.1]
   • @="Hook Class"

– [HKCR\NetHelper.Hook.1\CLSID]
   • @="{1593C741-C011-46FE-99FC-3805C28328BA}"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}]
   • @="Hook Class"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\InprocServer32]
   • @="%SYSDIR%\nethelper.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\ProgID]
   • @="NetHelper.Hook.1"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\Programmable]
– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"

– [HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\
   VersionIndependentProgID]
   • @="NetHelper.Hook"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0]
   • @="NetHelper 1.0 Type Library"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0]
– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0\win32]
   • @="%SYSDIR%\nethelper.dll"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}]
   • @="IHook"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\TypeLib]
   • @="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"
   • "Version"="1.0"

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********
   • http://noviid.com/**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Полученная из похищенного блока информация

 Кража Попытка кражи следующей информации:
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • https://www3.netbank.commbank.com.au/netbank/bankmain
   • ib.national.com.au/nabib/loginProcess.ctl
   • www.national.au

– Протоколируется:
    • Регистрационная информация

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Adriana Popa в(о) понедельник, 6 ноября 2006 г.
Описание обновил Adriana Popa в(о) вторник, 7 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.