Имя:TR/PSW.Small.bs
Обнаружен:08/01/2007
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:19.240 байт.
Контрольная сумма MD5:73dc2446341699857aaf39489508f7d7
Версия VDF:6.36.00.023
Версия IVDF:6.36.00.033

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: FormSpy
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Mal/Behav-044
   •  Grisoft: PSW.Generic2.REJ
   •  Eset: Win32/PSW.Small.NAD
   •  Bitdefender: Generic.Malware.SBg.56DBD99F


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\9129837.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%Рабочая папка вредоносной программы%\a.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
%WINDIR%\hide_evr2.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Small.bs.SYS

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%Шестнадцатиричное число%
   • "k2"=%Шестнадцатиричное число%



Изменяется следующий ключ реестра:

Отключение Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Прежнее значение:
   • "Start"=%Настройки пользователя%
   Новое значение:
   • "Start"=dword:00000004

 Backdoor Открывается порт:

%WINDIR%\9129837.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.


Устанавливает соединение с сервером
Все последующие:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.


Передает информацию о:
    • Кэшированные пароли
    • Текущий malware статус.
    • Открытый порт
    • Полученная из похищенного блока информация
    • Имя пользователя
    • посещенные URL


Возможности удаленного контроля:
    • Загрузить файл

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая ве
Описание добавил Monica Ghitun в(о) понедельник, 8 января 2007 г.
Описание обновил Monica Ghitun в(о) вторник, 9 января 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.