Имя:TR/Spy.Goldun.axt
Обнаружен:12/09/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:34.931 байт.
Контрольная сумма MD5:6ba40E29db8fb6f9145fde7a45708875
Версия IVDF:7.00.06.149 - пятница, 12 сентября 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Spy-Agent.bg trojan
   •  Kaspersky: Trojan-Spy.W32.Goldun.axt
   •  F-Secure: Trojan-Spy:W32/Goldun.RR
   •  Sophos: Troj/Meredrop-A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\k86.bin

%SYSDIR%\cabpck.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Goldun.axn

%SYSDIR%\krnlcab.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen




Попытка загрузки следующего файла:

– Следующий URL:
   • http://social-bos.biz/**********/data.php**********

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   krnlcab.sys]
   • @="Driver"



Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   cabpck]
   • DllName=hex(2):%шестнадцатиричное значение% (cabpck.dll)
   • Startup="cabpck"
   • mpersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • a950="[FA5BF78BD77A4464E]"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%шестнадцатиричное значение% (system32\krnlcab.sys)
   • "DisplayName"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Security]
   • "Security"=hex:%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Enum]
   • "0"="Root\\LEGACY_KRNLCAB\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%выполненный файл%
      "="%выполненный файл% :*:Enabled:rundll32"



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000]
   • "Service"="krnlcab"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="krnlcab"

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Alexander Neth в(о) пятница, 12 сентября 2008 г.
Описание обновил Alexander Neth в(о) пятница, 12 сентября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.