Full description

Nume:	TR/VB.Inject.PX
Descoperit pe data de:	20/07/2011
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Marime:	69.632 Bytes
MD5:	9268ADEBF4F49D16DA0838145E8BA4D5
Versiune VDF:	7.11.12.21 - 2011年7月20日星期三
Versiune IVDF:	7.11.12.21 - 2011年7月20日星期三

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Symantec: W32.SillyIRC
   • Mcafee: W32/Autorun.worm.h
   • Kaspersky: Worm.Win32.AutoRun.cgfa

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
• %TEMPDIR%\%combinatie de caractere aleatoare%.exe

Sterge copia initiala a virusului.

Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\%combinatie de caractere aleatoare%.exe"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="C:\DOCUME~1\SD_USER\LOCALS~1\Temp\%combinatie de caractere aleatoare%.exe"

Se adauga in registrii sistemului:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000

Backdoor Deschide portul

– svchost.exe pe portul UDP 1032

Servere contactate:

   • 69.65.19.**********:443

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Informatii despre sistemul de operare

Posibilitati de control la distanta:
    • trimitere email-uri

Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

Numele procesului:
• explorer.exe

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

说明添加者： Andrei Ilie 打开 2011年8月1日星期一
说明更新者： Andrei Ilie 打开 2011年8月2日星期二

反馈 . . . .

我的帐户