středa 9. května 2012

Spammer:Win32/Tedroo.A


Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto úprav registru:
    • Přidaná hodnota: " ii "
    S údaji: " 1 "
    Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
     
    Přidaná hodnota: " hostitel "
    S údaji: "<IP adresa>" (<adresa IP> je IP adresa serveru dálkového ovládání, jeden příklad uvést do styku ve volné přírodě, pro tento účel IP93.174.95.145  který hostí domény sec3.helohmar.com )
    Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
     
    Přidaná hodnota: " id "
    S údaji: "<digits>"
    Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS

Top

 

Technické informace (analýza)

Spammer:Win32/Tedroo.Aje trojan, který posílá nevyžádané e-mailové zprávy. Načte konfigurační data ze vzdáleného serveru a pošle spam získaných e-mailových adres pomocí SMTP servery.
Instalace
Spammer:Win32/Tedroo.A modifikuje následující položky registru, aby pro ukládání svých dat:
Přidanou hodnotu: " ii "
S údaji: " 1 "
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
 
Přidanou hodnotu: " hostitele "
S údaji: "<IP adresa>" (<adresa IP> je IP adresa serveru dálkového ovládání, jeden příklad uvést do styku ve volné přírodě, pro tento účel IP93.174.95.145  který hostí domény sec3.helohmar.com )
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
 
Přidanou hodnotu: " id "
S údaji: "<digits>"
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Užitečná
Pošle spamu
Spammer:Win32/Tedroo.Apokusí se připojit ke vzdálenému serveru nahlásit infekce a získat informace, které slouží k rozesílání nevyžádaných e-mailů. V přírodě jsme pozorovali jednu instanciSpammer:Win32/Tedroo.Akontaktování  sec3.helohmar.com pro tento účel. Získané informace se uloží do <%% TEMP> \ <random číslo>. Tmp dočasně.
 
Spammer:Win32/Tedroo.A pošle spam na získaných e-mailových adres pomocí konfigurační údaje, které obdrží ze vzdáleného serveru. Pro ​​odeslání tohoto spamu,Spammer:Win32/Tedroo.Abyla pozorována pomocí následujících SMTP servery:
 
mx1.hotmail.com
mx2.hotmail.com
mx3.hotmail.com
mx4.hotmail.com
a.mx.mail.yahoo.com
b.mx.mail.yahoo.com
c.mx.mail.yahoo.com
d.mx.mail.yahoo.com
e.mx.mail.yahoo.com
f.mx.mail.yahoo.com
mailin-01.mx.aol.com
mailin-02.mx.aol.com
mailin-03.mx.aol.com
mailin-04.mx.aol.com
google.com.s9a2.psmtp.com
google.com.s9b1.psmtp.com
google.com.s9b2.psmtp.com
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)