Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto úprav registru:
Přidaná hodnota: " ii "
S údaji: " 1 "
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Přidaná hodnota: " hostitel "
S údaji: "<IP adresa>" (<adresa IP> je IP adresa serveru dálkového ovládání, jeden příklad uvést do styku ve volné přírodě, pro tento účel IP93.174.95.145 který hostí domény sec3.helohmar.com )
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Přidaná hodnota: " id "
S údaji: "<digits>"
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Technické informace (analýza)
Spammer:Win32/Tedroo.Aje trojan, který posílá nevyžádané e-mailové zprávy. Načte konfigurační data ze vzdáleného serveru a pošle spam získaných e-mailových adres pomocí SMTP servery.
Instalace
Spammer:Win32/Tedroo.A modifikuje následující položky registru, aby pro ukládání svých dat:
Přidanou hodnotu: " ii "
S údaji: " 1 "
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Přidanou hodnotu: " hostitele "
S údaji: "<IP adresa>" (<adresa IP> je IP adresa serveru dálkového ovládání, jeden příklad uvést do styku ve volné přírodě, pro tento účel IP93.174.95.145 který hostí domény sec3.helohmar.com )
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Přidanou hodnotu: " id "
S údaji: "<digits>"
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ BITS
Užitečná
Pošle spamu
Spammer:Win32/Tedroo.Apokusí se připojit ke vzdálenému serveru nahlásit infekce a získat informace, které slouží k rozesílání nevyžádaných e-mailů. V přírodě jsme pozorovali jednu instanciSpammer:Win32/Tedroo.Akontaktování sec3.helohmar.com pro tento účel. Získané informace se uloží do <%% TEMP> \ <random číslo>. Tmp dočasně.
Spammer:Win32/Tedroo.A pošle spam na získaných e-mailových adres pomocí konfigurační údaje, které obdrží ze vzdáleného serveru. Pro odeslání tohoto spamu,Spammer:Win32/Tedroo.Abyla pozorována pomocí následujících SMTP servery:
mx1.hotmail.com
mx2.hotmail.com
mx3.hotmail.com
mx4.hotmail.com
a.mx.mail.yahoo.com
b.mx.mail.yahoo.com
c.mx.mail.yahoo.com
d.mx.mail.yahoo.com
e.mx.mail.yahoo.com
f.mx.mail.yahoo.com
mailin-01.mx.aol.com
mailin-02.mx.aol.com
mailin-03.mx.aol.com
mailin-04.mx.aol.com
google.com.s9a2.psmtp.com
google.com.s9b1.psmtp.com
google.com.s9b2.psmtp.com
Žádné komentáře:
Okomentovat