Encyklopedický vstup
Aktualizováno: 25.května 2011 | Vydáno: 18. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 25.května 2011 | Vydáno: 18. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012 | Detekce původně vytvořeny: Definice: 1.103.2020.0 Vydáno: 18.května 2011 |
Shrnutí
Backdoor:Win32/Simda. Je backdoor trojan, který umožňuje vzdálený přístup a kontrolu nad napadeným počítačem.
Příznaky
Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
Technické informace (analýza)
Backdoor:Win32/Simda je backdoor trojan, který umožňuje vzdálený přístup a kontrolu nad napadeným počítačem.
Instalace
Po spuštění malware:
- Zkontroluje, jestli je trojský kůň běží z <system folder>. Pokud není spuštěna ze systémové složky,Backdoor:Win32/Simdakopíruje se jako folder> <system \ <random_number>. EXE
- Upravuje následující položka registru pro provedení její kopii na Windows začátku:
V podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Nastavuje hodnotu: " userinit "
Vzhledem k objemu dat: "< systémové složky> \ Userinit.exe, <systémová složka > \ <random_number>. exe " - Vstřikuje kód procesu " svchost.exe "
- Odstraní původní spustitelné
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení a vykonává libovolné soubory
Backdoor:Win32/Simda připojí ke vzdálenému počítači a poskytuje informace o nově infikované počítače.
To pak obdrží informace o konfiguraci, kde stáhnout další soubory a na jiných místech, z nichž ke stažení další konfigurační soubory. Stažené soubory se zapisují do%% TEMP složky, například C: \ Users \ <jméno \ AppData \ Local \ Temp . Tyto soubory mohou obsahovat další malware. V přírodě jsme pozorovali tyto oblasti byly za tímto účelem kontaktován:
- gusssiss.com
- orlikssss.com
- asterixsss.com
Upraví nastavení zabezpečení
Backdoor:Win32/Simdapoužívá různé techniky ve snaze pozdvihnout své privilegium. Snaží se přihlaste jako správce (pokud uživatel není správce již) pomocí seznam hesel:
- pomoc
- kámen
- Server
- projít
- idontknow
- správce
- admin
- 666666
- 111
- 12345678
- 1234
- fotbal
- abc123
- password1
- football1
- fuckyou
- opice
- iloveyou1
- superman1
- slipknot1
- jordan23
- princess1
- liverpool1
- monkey1
- baseball1
- 123abc
- qwerty1
- blink182
- myspace1
- pop
- user111
- 098765
- qweryuiopas
- qwe
- qwer
- QWERT
- qwerty
- asdfg
- chort
- nah
- xak
- xakep
- 111111
- 12345
- 2013
- 2007
- 2207
- 110
- 5554
- 775
- 354
- 1982
- 123
- heslo
- 123456
Vstřikuje kód
Pokud budou úspěšní při zvýšení úrovně oprávnění, Simda pokouší vnést DLL do procesu prostoru Winlogon.exe . Tato knihovna je detekován jako PWS slovy: Win32/Simda .
Exploitů zranitelností
Backdoor:Win32/Simda také pokouší se využít následující chyby s cílem pomoci při získávání zvýšená oprávnění:
Další informace
Získané domény jsou pak uloženy na následující položky registru v zašifrované podobě, například:
V podklíč: HKLM \ Software \ Microsoft
Nastaví hodnotu: " m1131 "
Vzhledem k objemu dat: <encrypted URL> V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1132 " Vzhledem k objemu dat: <encrypted URL>V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1133 " Vzhledem k objemu dat: <encrypted URL>
Nastaví hodnotu: " m1131 "
Vzhledem k objemu dat: <encrypted URL> V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1132 " Vzhledem k objemu dat: <encrypted URL>V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1133 " Vzhledem k objemu dat: <encrypted URL>
Žádné komentáře:
Okomentovat