TR/Spy.Haxspy.AE - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Spy.Haxspy.AE
Обнаружен:	21/07/2006
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	10.824 байт.
Контрольная сумма MD5:	9471026d4c6e1911e317af28ac259a6b
Версия VDF:	6.34.01.155
Версия IVDF:	6.34.01.161

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Trojan.Goldun
   • Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   • TrendMicro: TSPY_GOLDUN.AO
   • VirusBuster: TrojanSpy.Haxspy.Y
   • Bitdefender: Trojan.Spy.Haxspy.AE

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

Файлы Создается файл:

– %SYSDIR%\wndtx1.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Bolol.A.4

– %SYSDIR%\ipudpb2.sys Определен как: TR/Spy.Haxspy.AE

Реестр Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%случайная буквенная комбинация%[%актуальное имя пользователя% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Прежнее значение:
   • "PendingFileRenameOperations"=%шестнадцатиричное значение%
   Новое значение:
   • "PendingFileRenameOperations"=%шестнадцатиричное значение%

Backdoor Устанавливает соединение с сервером
Следующий:
   • http://www.salidol.biz/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Текущий пользователь
    • Полученная из похищенного блока информация
    • Информация об операционной системе Windows

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения одной из следующих веб-страниц была запущена функция протоколирования:
• http://www.e-gold.com
• %каждая основанная на HTTPS содержащая лог-форму ве
Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Fri, 21 Jul 2006 14:08 (GMT+1)
Описание обновлено: Monica Ghitun Wed, 02 Aug 2006 08:51 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back