sobota 19. května 2012

Backdoor:Win32/Simda.A


Encyklopedický vstup
Aktualizováno: 25.května 2011  |  Vydáno: 17. května 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.273.0
Vydáno: 19.května 2012		Detekce původně vytvořeny:
Definice: 1.103.1919.0
Vydáno: 17.května 2011

Na této stránce

Shrnutí záložky | Příznaky Technické informace Prevence zotavení

 

Shrnutí

Backdoor:Win32/Simda.A je backdoor trojan, který umožňuje vzdálený přístup a kontrolu nad napadeným počítačem.

Top

 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.

Top

 

Technické informace (analýza)

Backdoor:Win32/Simda.A je backdoor trojan, který umožňuje vzdálený přístup a kontrolu nad napadeným počítačem. 
Instalace
Po spuštění malware:
  • Zkontroluje, jestli je trojský kůň běží z <system folder>. Pokud není spuštěna ze systémové složky,Backdoor:Win32/Simda.Akopíruje se jakofolder> <system \ <random_number>. EXE
  • Upravuje následující položka registru pro provedení její kopii na Windows začátku: V podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon Nastavuje hodnotu: " userinit " Vzhledem k objemu dat: "< systémové složky> \ Userinit.exe, <systémová složka > \ <random_number>. exe "



  • Vstřikuje kód procesu " svchost.exe "
  • Odstraní původní spustitelné 
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení a vykonává libovolné soubory
Backdoor:Win32/Simda.A připojí ke vzdálenému počítači a poskytuje informace o nově infikované počítače.
To pak obdrží informace o konfiguraci, kde stáhnout další soubory a na jiných místech, z nichž ke stažení další konfigurační soubory. Stažené soubory se zapisují do%% TEMP složky, například C: \ Users \ <jméno \ AppData \ Local \ Temp . Tyto soubory mohou obsahovat další malware. V přírodě jsme pozorovali tyto oblasti byly za tímto účelem kontaktován:

  • gusssiss.com
  • orlikssss.com
  • asterixsss.com
Upraví nastavení zabezpečení
Backdoor:Win32/Simda.Apoužívá různé techniky ve snaze pozdvihnout své privilegium. Snaží se přihlaste jako správce (pokud uživatel není správce již) pomocí seznam hesel:
  • pomoc
  • kámen
  • Server
  • projít
  • idontknow
  • správce
  • admin
  • 666666
  • 111
  • 12345678
  • 1234
  • fotbal
  • abc123
  • password1
  • football1
  • fuckyou
  • opice
  • iloveyou1
  • superman1
  • slipknot1
  • jordan23
  • princess1
  • liverpool1
  • monkey1
  • baseball1
  • 123abc
  • qwerty1
  • blink182
  • myspace1
  • pop
  • user111
  • 098765
  • qweryuiopas
  • qwe
  • qwer
  • QWERT
  • qwerty
  • asdfg
  • chort
  • nah
  • xak
  • xakep
  • 111111
  • 12345
  • 2013
  • 2007
  • 2207
  • 110
  • 5554
  • 775
  • 354
  • 1982
  • 123
  • heslo
  • 123456
Vstřikuje kód
Pokud budou úspěšní při zvýšení úrovně oprávnění, Simda pokouší vnést DLL do procesu prostoru Winlogon.exe . Tato knihovna je detekován jako PWS slovy: Win32/Simda .
Exploitů zranitelností
Backdoor:Win32/Simda.A také pokouší se využít následující chyby s cílem pomoci při získávání zvýšená oprávnění:
Další informace
Získané domény jsou pak uloženy na následující položky registru v zašifrované podobě, například:
V podklíč: HKLM \ Software \ Microsoft
Nastaví hodnotu: " m1131 "
Vzhledem k objemu dat: <encrypted URL>  V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1132 " Vzhledem k objemu dat: <encrypted URL>  V podklíč: HKLM \ Software \ Microsoft Nastaví hodnotu: " m1133 " Vzhledem k objemu dat: <encrypted URL>










Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)