http://www.infoprof.pl/wirusy.php InfoProf - wirusy i malware pl http://infoprof.pl/rss.php http://www.infoprof.pl/ 38 50 InfoProf - wirusy i malware Szkodnik tworzony jest za pomocą oprogramowania o nazwie Spy-Net RA, dzięki czemu napastnik uzyskuje duża swobodę w generowaniu i nazywaniu plików oraz wpisów do rejestru. Podane w newsie dane są domyślnymi nazwami z tego programu, jednak mogą pojawić się wersje zawierające inne nazwy lub inne klucze. Kiedy szkodnik zostanie uruchomiony tworzy w domyślnym katalogu temp pliki o następujących nazwach: UuU.uUu, XX--XX--XX.txt, XxX.xXx, natomiast bezpośrednio w katalogu C: pojawiają się katalog, podkatalog i plik: Dir\install\server.exe. Robak otwiera backdoora wykorzystując w tym celu predefiniowany port i oczekuje na polecenia od zdalnego napastnika, który może mu nakazać podjęcie następujących działań: czytanie, zapisywanie i uruchamianie plików, kradzież zapisanych haseł, uruchomieni i skorzystanie z webkamery (o ile taka jest zainstalowana) uruchomienie keyloggera, stworzenie na zainfekowanej maszynie serwera proxy. Robak może także stworzyć rootkit, który ukryje wszytskie wpisy do rejestru zawierające ciąg znaków "SPY_NET_RAT". Worm może także wstrzykiwać się do procesu iexplorer.exe lub innego wskazanego przez napastnika. Rozprzestrzenia się za pośrednictwem napędów wymienialnych, a także poprzez kopiowanie się do katalogów udostępnionych programów wymiany plików takich jak np. Limewire czy Bearshare. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Spyrat http://www.infoprof.pl/wirusy.php?jmp=Spyrat Szkodnik najczęściej pojawia się w komputerze ofiary jako fałszywa aktualizacja Adobe Flash Player`a lub fałszywa kontrolka ActiveX. W trakcie instalacji tworzy w domyślnym katalogu systemowym swoje kopie o następujących nazwach: sdra64.exe, oembios.exe, ntos.exe. Ponadto tworzy w domyślnym katalogu systemowym podkatalogi o nazwach wsnpoem i sysproc64 do których upuszcza pliki: audio.dll, video.dll, sysproc86.sys, sysproc32.sys. Następnie tworzy podkatalog lowsec, do którego kopiuje swój zaszyfrowany plik konfiguracyjny local.ds. Plik ten zawiera instrukcje skąd trojan ma pobrać swoje aktualizacje oraz instrukcje. Malware zbiera z zainfekowanej maszyny następujące informacje: wersje systemu operacyjnego, obecność lub nie Windows XP Service Pack 2, język systemu operacyjnego, hasła zachowane w pamięci komputera. Szkodnik Nowy Zbot tworzy własne szkodliwe wątki we wszystkich działających procesach za wyjątkiem CSRSS.EXE. Zakłada także haki na następujące systemowe funkcje biblioteki ntdll.dll: NtCreateThread, LdrLoadDll, LdrGetProcedureAddress. Usuwa pliki cookies z przeglądarki Internet Explorer wymuszając w ten sposób na użytkownikach ponowne wpisywanie haseł do bankowych stron. Szkodnik zakłada także haki na liczne biblioteki dll w celu przejęcia kontroli nad pracą sieciową komputera oraz w celu zdobycia informacji. Kotwice takie są zakładane m.in. na następujące funkcje API z modułu wininet.dll: (HttpSendRequestW, HttpSendRequestA, HttpSendRequestExW, HttpSendRequestExA, InternetReadFile, InternetReadFileExW, InternetReadFileExA, InternetQueryDataAvailable,InternetCloseHandle), ws2_32.dll oraz wsock32.dll (send, sendto, closesocket, WSASend, WSASendTo), user32.dll (GetMessageW, GetMessageA, PeekMessageW, PeekMessageA, GetClipboardData). Po ich założeniu, trojan przystępuje do filtrowania ruchu sieciowego - poszukując w nim słów kluczowych związanych z bankowością portalami społecznościowymi oraz stronami zawierającymi usługi webmail. Lista tych stron jest wyspecyfikowania w zaszyfrowanym pliku konfiguracyjnym. Skradzione informacje są zapisywane w pliku o nazwie user.ds i wysyłane pod adres który szkodnik znajdzie w swoim pliku konfiguracyjnym. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Trojan.Zbot http://www.infoprof.pl/wirusy.php?jmp=Trojan.Zbot W trakcie instalacji szkodnik tworzy muteks `0430BC64-6833-4845-A192-D9ADFCFDFC43` gwarantujący uruchomienie tylko jednej kopii szkodnika na skompromitowanej maszynie. Następnie trojan kopiuje się do następującej lokalizacji: %Temp%\H8SRT[losowa heksadecymalna nazwa pliku].tmp. Do tej samej lokalizacji upuszcza także drugi plik, którego nazwa również jest losowym zbiorem cyfr w systemie szesnastkowym, poprzedzonym przedrostkiem H8SRT. Kolejnym posunięciem jest modyfikacja systemowego pliku msvcrt.dll i zapisanie go w tej samej lokalizacji co pliki szkodnika także pod heksadecymalną nazwą pliku oraz z rozszerzeniem temp. Dalej, szkodnik tworzy w domyślnym katalogu systemowym pliki o nazwach: H8SRT[10 losowych znaków].dll - rozpoznawany jako Trojan.Vundo oraz H8SRT[10 losowych znaków].dat i H8SRT[10 losowych znaków].sys. Później rejestruje się w systemie jako jako usługa H8SRTd.sys i modyfikuje również następujące klucze rejestru:
HKCU\Software\Mozilla\"affid" = ""
HKCU\Software\Mozilla\"subid" = "nk[dwa znaki]"
Wreszcie wstrzykuje swój kod do wnętrza procesu svchost.exe. Wstrzyknięty kod przystępuje do prób połączenia się z serwerem C&C w określonych lokalizacjach. Trojan posiada umiejętności backdoora i stara się bazując na danych otrzymanych z serwera poleceń pobrać do komputera dodatkowe komponenty. Stara się także pobrać i uruchomić dodatkowy plik. Trojan zakłada haki na następujące API kernela: IofCallDriver, IofCompleteRequest, ZwEnumerateKey, ZwFlushInstructionCache. backdoor jest także wyposażony w funkcjonalność rootkita dzięki czemu może ukrywać pliki, katalogi i wpisy do rejestru zawierające charakterystyczny dla szkodnika ciąg znaków H8SRT na początku nazwy. Szkodnik sprawdza lokalizację geograficzną komputera i nie uruchamia niektórych ze swoich funkcjonalności jeśli stwierdzi, iż został uruchomiony w następujących państwach: Azerbejdżanie, Białorusi, Czechach, Kazachstanie, Kirgistanie, Polsce, Rosji, Ukrainie, Uzbekistanie. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Backdoor.Tidserv.J http://www.infoprof.pl/wirusy.php?jmp=Backdoor.Tidserv.J Szkodnik może się pojawić w komputerze za pośrednictwem szkodliwego dokumentu PDF który eksploituje nie załatane luki w Adobe Acrobat Reader. Kiedy trojan zostanie uruchomiony tworzy w domyślnym katalogu systemowym pliki o nazwach winup.exe oraz windex.exe. tworzy także dwa mutexy: * RMTAA i * MAIN, które zapewniają uruchomienie tylko jednej instancji szkodnika na skompromitowanej maszynie. Następnie otwiera backdoora poprzez połączenie z adresem [http://]www1.vmnat.com. Backdoor stara się także połączyć z innymi zdalnymi adresami. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Samkams.B http://www.infoprof.pl/wirusy.php?jmp=Samkams.B Szkodnik jest przynoszony i uruchamiany w skompromitowanym systemie przez TROJ_PIDIEF.WIA. Backdoor upuszcza swoją kopię o nazwie hepfixs.exe do domyślnego katalogu systemowego. Następnie rejestruje się w systemie jako usługa o nazwie identycznej jak nazwa pliku szkodnika. Otwiera też ukrytą instancję Internet Explorera (iexplore.exe) i wykorzystuje port TCP 8080 do połączenia się ze zdalną stroną. Jeśli połączenie zostanie ustanowione, napastnik uzyskuje dostęp do komputera ofiary. Po uruchomieniu i otwarciu dostępu do maszyny, szkodnik usuwa swój plik z systemu. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=BKDR_POISON.UC http://www.infoprof.pl/wirusy.php?jmp=BKDR_POISON.UC Szkodnik pojawia się w postaci załącznika do spamowego maila, może być także pobrany w sposób cichy w trakcie wizyty na szkodliwej stronie www. Trojan wykorzystuje podatność w obiektach Doc.media.newPlayer oprogramowania Adobe Reader i Acrobat (wersja od 8.0 do 9.2 a także najprawdopodobniej wcześniejsze) do upuszczania i uruchomienia szkodliwego pliku SUCHOST.EXE (zapisanego przez szkodnika w domyślnym katalogu TEMP). Plik ten rozpoznawany jest przez Trend Micro jako BKDR_POISON.UC. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=TROJ_PIDIEF.WIA http://www.infoprof.pl/wirusy.php?jmp=TROJ_PIDIEF.WIA Szkodnik rozprzestrzenia się za pośrednictwem dysków wymienialnych oraz komunikatorów sieciowych. Po uruchomieniu, kopiuje swój plik do domyślnego katalogu systemowego i nadaje mu nazwę msnwm.exe oraz atrybuty `ukryty, systemowy`. Do podkatalogu drivers upuszcza plik o nazwie kernelx86.sys rozpoznawany jako Hacktool.Rootkit. Następnie modyfikuje klucze rejestru m.in. dodając swoje pliki do listy autoryzowanych programów Firewall`a Windows. Robak otwiera backdoora na skompromitowanej maszynie poprzez połączenie z predefiniowanym serwerem IRC. Szkodnik łączy się z siecią, sprawdzając czy są dostępne jego aktualizacje, a także sprawdza maszyny w tej samej sieci poszukując tych, które są podatne na dalsze eksploitowanie. Robak modyfikuje plik HOSTS przekierowując połączenia do stron firm antywirusowych na IP 209.85.225.99. Na koniec wyłącza także narzędzia administracyjne oraz oprogramowanie ochronne. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Rixobot http://www.infoprof.pl/wirusy.php?jmp=Rixobot Jest to określenie dla plików i komponentów mogących występować w sieci, które noszą znamiona szkodliwego działania. Dzięki nietypowym mechanizmom szyfrowania, dane prawdziwe zawarte w pliku są ukryte. Specjaliści z Symantec`a ustalili jednak że są to szkodliwe programy lub ich elementy. Rozpoznane malware: Backdoor.Tidserv oraz riskware: WindowsAntivirusPro. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Packed.Generic.277 http://www.infoprof.pl/wirusy.php?jmp=Packed.Generic.277 Program z założenia ochronny, którego działanie jednak wykracza poza działania typowe dla tzw. security tool. Po uruchomieniu, szkodnik tworzy w domyślnym katalogu systemowym dwa pliki orec32.exe oraz keys32.dll. Następnie nagrywa wszystkie komunikaty komunikatorów Yahoo oraz AOL, adresy wpisywane wyszukiwarki oraz używa keyloggera. Zdobyte informacje zapisuje do plików, które tworzy w domyślnym katalogu systemowym. Pliki te mogą mieć na stępujące nazwy: acndex.rec, aindex.rec, apndex.rec, cindex.rec, custom.rec, iindex.rec, kindex.rec, mindex.rec, mpndex.rec, opndex.rec, p1.rec, rindex.rec, sindex.rec, time.rec, uindex.rec, wi1.rec, windex.rec, wit1.rec, yindex.rec, ypndex.rec. Domyślny katalog systemowy jest domyślną lokalizacją plików szkodnika, możliwe jest jednak jego takie skonfigurowanie aby zapisywał swoje pliki także w innych lokalizacjach. Szkodnik chroni dostęp do siebie za pomocą hasła. Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=Spyware.OnlineRecorder http://www.infoprof.pl/wirusy.php?jmp=Spyware.OnlineRecorder Szkodnik rozprzestrzenia się za pośrednictwem sieci wymiany plików oraz jako załącznik do spamowego maila. Może być także pobierany ze specjalnie utworzonej złośliwej strony, rozprzestrzenia się także przez wszytskie napędy wymienialne. Upuszcza swoją kopię do domyślnego katalogu systemowego jako plik o nazwie wmimngr.exe. Modyfikuje rejestr wyłączając w nim m.in. konieczność autoryzacji oprogramowania w firewallu Windows, a także kontrolę systemu nad włączanymi usługami. Worm modyfikuje także plik HOSTS starając się uniemożliwić użytkownikowi połączenie ze stronami producentów oprogramowania antywirusowego i skorzystanie ze skanera online, lub wysłanie pliku szkodnika do analizy. Robak wykorzystuje silnik własny pocztowy Simple Mail Transfer Protocol (SMTP) do rozsyłania spamowych maili zawierających w załączniku kopię szkodnika. Mail rozsyłany przez worma podszywa się pod e-kartkę ze świątecznymi życzeniami. Adresów do wysyłki poszukuje natomiast w plikach o następujących rozszerzeniach: .doc, .htm, .pdf, .chm, .txt. Robak nie wysyła jednakże maili pod adresy, które mogłyby zagrozić jego egzystencji - omija adresy producentów oprogramowania ochronnego, Microsoftu, Google, Berkeley, nazwy dystrybucji systemu linux itd. Umieszcza za to swoje kopie we wszystkich katalogach udostępniania programów do wymiany plików P2P oraz komunikatorów - eMule, Grokster, Limewire, Morpheus, Tesla, Winmx, Icq. Kopie te mają bardzo atrakcyjne z punktu widzenia pobieraczy nazwy przykładowo: Motorola, nokia, ericsson mobil phone tools.exe czy PDF password remover (works with all acrobat reader).exe. Worm tworzy swoje kopie także na wszystkich napędach wymienialnych, do których uzyska dostęp jako plik o nazwie redmond.exe umiejscowiony w fałszywym katalogu Recycled. Na koniec robak upuszcza do domyślnego katalogu systemowego plik o nazwie wpmgr.exe rozpoznawany przez skanery Trend Micro jako TROJ_CUTWAIL.IZ Thu, 14 Jan 2010 23:11:07 +0100 http://www.infoprof.pl/wirusy.php?jmp=WORM_PROLACO.Z http://www.infoprof.pl/wirusy.php?jmp=WORM_PROLACO.Z