TR/PSW.Small.BS.1 - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/PSW.Small.BS.1
Обнаружен:	12/09/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	40.960 байт.
Контрольная сумма MD5:	e749eb17826b0Ec9671d21be9160ab86
Версия VDF:	6.35.01.216
Версия IVDF:	6.35.01.220

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-PSW.Win32.Small.bs
   • Sophos: Troj/PWS-HP
   • Bitdefender: Trojan.PSW.Small.B

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

Файлы Создается собственная копия:
• %WINDIR%\9129837.exe

Выполненная копия программы удаляется.

Создаются следующие файлы:

– %WINDIR%\hide_evr2.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Small.BS.3

– %Рабочая папка вредоносной программы%\a.bat Данный batch-файл используется для удаления файла.

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"

Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%случайная буквенная комбинация%
   • "k2"=%случайная буквенная комбинация%

Backdoor Открывается порт:
к произвольному UDP порту для обеспечения backdoor функции.

Устанавливает соединение с сервером
Все последующие:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Текущий malware статус.
    • Полученная из похищенного блока информация

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
• %каждая ве
Краткое описание см. здесь.

Описание добавлено: Marius T. Nicolae Thu, 21 Sep 2006 10:27 (GMT+1)
Описание обновлено: Andrei Ivanes Thu, 19 Oct 2006 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back