TR/PSW.Small.bs - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/PSW.Small.bs
Обнаружен:	08/01/2007
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	19.240 байт.
Контрольная сумма MD5:	73dc2446341699857aaf39489508f7d7
Версия VDF:	6.36.00.023
Версия IVDF:	6.36.00.033

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: FormSpy
   • Kaspersky: Trojan-PSW.Win32.Small.bs
   • Sophos: Mal/Behav-044
   • Grisoft: PSW.Generic2.REJ
   • Eset: Win32/PSW.Small.NAD
   • Bitdefender: Generic.Malware.SBg.56DBD99F

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает файл
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %WINDIR%\9129837.exe

Выполненная копия программы удаляется.

Создаются следующие файлы:

– %Рабочая папка вредоносной программы%\a.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
– %WINDIR%\hide_evr2.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Small.bs.SYS

Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%Шестнадцатиричное число%
   • "k2"=%Шестнадцатиричное число%

Изменяется следующий ключ реестра:

Отключение Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Прежнее значение:
   • "Start"=%Настройки пользователя%
   Новое значение:
   • "Start"=dword:00000004

Backdoor Открывается порт:

– %WINDIR%\9129837.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.

Устанавливает соединение с сервером
Все последующие:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.

Передает информацию о:
    • Кэшированные пароли
    • Текущий malware статус.
    • Открытый порт
    • Полученная из похищенного блока информация
    • Имя пользователя
    • посещенные URL

Возможности удаленного контроля:
    • Загрузить файл

Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– После посещения следующей веб-страницы была запущена функция протоколирования:
• %каждая ве
Краткое описание см. здесь.

Описание добавлено: Monica Ghitun Mon, 08 Jan 2007 15:29 (GMT+1)
Описание обновлено: Monica Ghitun Tue, 09 Jan 2007 11:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back