Имя:TR/PSW.Magania.avwf
Обнаружен:04/03/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:108.412 байт.
Контрольная сумма MD5:518db8564203cc90b7a461d71c42dd09
Версия IVDF:7.01.02.119 - среда, 4 марта 2009 г.

 Общее Методы распространения:
   • Подключенные сетевые диски
   • Messenger


Псевдонимы (аliases):
   •  Symantec: Trojan.Dropper
   •  Sophos: W32/AutoRun-AAT
   •  Panda: W32/Lineage.KPH
   •  Grisoft: PSW.OnlineGames.2.S
   •  Eset: Win32/PSW.OnLineGames.NMY


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\ierdfgh.exe
   • %Диск%\9.exe



Выполненная копия программы удаляется.



Удаляется следующий файл:
   • %SYSDIR%\drivers\cdaudio.sys



Следующий файл может быть поврежден:
   • %SYSDIR%\drivers\cdaudio.sys



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%SYSDIR%\pytdfse%Число%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Autorun.845034

%SYSDIR%\drivers\klif.sys Определен как: TR/Klif.3520

%Диск%\6fq.com
%TEMPDIR%\4tddfwq0.dll
%TEMPDIR%\xvassdf.exe



Попытка загрузки следующего файла:

– Следующий URL:
   • http://vfbgt.com/xrbv/**********


– Следующий URL:
   • http://sfdght.com/xrbv/**********
Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kxswsoft"="%SYSDIR%\ierdfgh.exe"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
     "DisplayName"="AVPsys"



Удаляются значения следующего ключа реестра:



Удаляются все значения следующего ключа реестра и его подключей:
   • [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum]
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   • 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
   • 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
   • 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
   • 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]
   Новое значение:
   • "enabled"=dword:00000000

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • "CheckedValue"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Yahoo Messenger


Распространение через файлы
Отправляются файлы с одним из следующих имен:
   • YahooWidgetEngine.exe
   • YPagerj.exe

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\pytdfse%Число%.dll


– Процедура наблюдения за процессами вставляется в процесс.

    Имя процесса:
   • explorer.exe

   При неудачном выполнении процесс вредоносной программы остется активным.

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Используемый метод:
    • Невидимый из Windows API
    • Невидимо из Interrupt Descriptor Table (IDT)

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) понедельник, 6 июля 2009 г.
Описание обновил Petre Galan в(о) среда, 19 августа 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.