Имя:TR/Neeris.67584
Обнаружен:31/03/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:67.584 байт.
Контрольная сумма MD5:f7db2ac64bf9874bc03d847426c0c811
Версия IVDF:7.10.06.06 - среда, 31 марта 2010 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Sophos: W32/Autorun-AEX
   •  Bitdefender: Trojan.Agent.AMMK
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/Injector.MM


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\smsc.exe



Выполненная копия программы удаляется.



Создается файл:

%SYSDIR%\drivers\sysdrv32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Hacktool.Tcpz.A




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • "%SYSDIR%\smsc.exe"

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WSSVC"="%SYSDIR%\smsc.exe"



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   SVCWINSPOOL]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   SVCWINSPOOL]
   • "@"="Service"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS04-011 (Уязвимость LSASS)
– MS06-040 (Уязвимость в серверной службе)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: b.vsp**********.com
Порт: 988
Канал: #lox
Имя: [00-USA-XP-%Число%]

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) четверг, 5 августа 2010 г.
Описание обновил Petre Galan в(о) четверг, 5 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.