Имя:TR/Spy.Agent.42496
Обнаружен:04/09/2007
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:42.496 байт.
Версия VDF:6.39.01.84
Версия IVDF:6.39.01.87 - вторник, 4 сентября 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-PSW.Win32.Zbot.z
   •  F-Secure: Trojan-PSW.Win32.Zbot.z
   •  Panda: Trj/Wsnpoem.JA


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Загружает файлы
   • Загружает вредоносного файл
   • Загружает вредоносные файлы
   • Создает файлы
   • Создает вредоносные файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\ntos.exe



Создаются следующие файлы:

%SYSDIR%\wsnpoem\audio.dll Файл является безвредным текстовым файлом со следующим содержимым:
   • Used for stolen data storage.

%SYSDIR%\wsnpoem\video.dll

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %Имя компьютера%_%Шестнадцатиричное число%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

 Завершение процесса Список завершаемых процессов:
   • outpost.exe
   • zlclient.exe


 Backdoor Открываются следующие порты:

– svchost.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.
– svchost.exe к произвольному TCP порту чтобы обеспечить Socks5 прокси-сервер.
– svchost.exe к произвольному TCP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • http://**********/.c/o/cfg.bin

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Передает информацию о:
    • Кэшированные пароли
    • Имя компьютера
    • Текущий пользователь
    • IP адрес
    • ID платформы
    • Полученная из похищенного блока информация
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Загрузить файл
    • Запустить файл
    • Закрыть потенциально опасную программу
    • Загрузить файл

 Кража Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли

– Проверяется сетевой трафик. Поиск следующей последовательности символов:
   • CustomerServiceMenuEntryPoint?custAction=75

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Протоколируется:
    • Регистрационная информация

 Инфицирование     Один из следующих процессов:
   • winlogon.exe
   • svchost.exe


 Разное Мьютекс:
Создается мьютекс:
   • __SYSTEM__91C38905__

 Технология Rootkit Скрывает следующее:
– Собственные файлы
– Собственные ключи реестра


Используемый метод:
    • Перехват Import Address Table (IAT)

Внедряется в следующие API-функции:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ernest Szocs в(о) понедельник, 19 ноября 2007 г.
Описание обновил Ernest Szocs в(о) понедельник, 19 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.