Full description

Nume:	RKIT/37704.A
Descoperit pe data de:	28/06/2010
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	64.512 Bytes
MD5:	6782a7b800d2be2064e6ca9377d704f6
Versiune IVDF:	7.10.08.210 - 2010年6月28日星期一

General Metoda de raspandire:
   • Messenger

Alias:
   • Bitdefender: Rootkit.37704
   • Panda: Bck/Oscarbot.YO
   • Eset: IRC/SdBot

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exb

Sterge copia initiala a virusului.

Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop MsMpSvc

– Numele fisierului:
   • net1 stop MsMpSvc

– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE

– Numele fisierului:
   • %WINDIR%\jusched.exe

– Numele fisierului:
   • net stop wuauserv

– Numele fisierului:
   • sc config wuauserv start= disabled

– Numele fisierului:
   • net1 stop wuauserv

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\jusched.exe:*:Enabled:Java
      developer Script Browse"

Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 66.225.24**********.182
Port: 2345
Canal: #!gf!
Nick: NEW-[USA|00|P|%numar%]

Alte informatii Acceseaza resurse de pe internet:
   • http://www.cpal**********.com/widget-report-abuse.php
   • http://www.cpal**********.com/widget-help.php

Mutex:
Creeaza urmatorul mutex:
   • Micro Upe

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

說明撰寫者 Petre Galan 開啟 2010年11月30日星期二
說明更新者 Petre Galan 開啟 2010年11月30日星期二

返回 . . . .

需要修復電腦？

我的帳戶