Encyklopedie vstup
Aktualizováno: 09.03.2012 | Publikováno: leden 27, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 09.03.2012 | Publikováno: leden 27, 2012 Aliasy
-
Trojan.Tenegour.9 (Dr.Web)
- Downloader-CRD (McAfee)
- Troj/Bredo-TZ (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.71.0 Vydáno: 16.května 2012 | Detekce původně vytvořeny: Definice: 1.119.772.0 Vydáno: 27.ledna 2012 |
Shrnutí
TrojanDownloader:Win32/Dofoil.O je trojan, který se snaží stahovat libovolné soubory z určitých vzdálených serverech. Tento trojan se lze setkat v souboru připojeného k e-mailové zprávy nevyžádané pošty.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost souboru s názvem "csrss.exe"Nebo náhodně pojmenovaný soubor, ve %AppData% složky, jako v následujících příkladech:
- c:\documents and settings\administrator\application data\csrss.exe
- c:\documents and settings\administrator\application data\4a07e3.exe
Technické informace (analýza)
TrojanDownloader:Win32/Dofoil.O je trojan, který se snaží stahovat libovolné soubory z určitých vzdálených serverech.
Instalace
Tento trojan se lze setkat v souboru připojeného k e-mailové zprávy nevyžádané pošty. V divočině, obsah zprávy a trojan název souboru se liší mezi spamových kampaní, a používásocial engineeringprvek odkazem důvěryhodných zdrojů zvýšit šanci příjemce vykonávajícího Trojan. Níže jsou uvedeny příklady spamových kampaní, které používají pestrý předmět a soubor příloh k distribuciTrojanDownloader:Win32/Dofoil.O:
- Spam odkazování American Airlines
- Předmět:
Order has been completed
Order#36513252
Order#5733194
Your Order##5500239
Your Order#116482832
Your Order#1767597
Your Order#83807 has been completed - Soubor v příloze:
AA_Ticket.zip
Delivery_information.zip
Ticket.zip
Ticket_AA3412.zip
Ticket_AA4173.zip
Ticket_AA4911.zip - Spam odkazování DHL
- Předmět:
DHL #Delivery information
Track your parcel No05451
Your package can be received
Your package is available for pickup.NR#66826 - Soubor v příloze:
Post_Label.zip
Post_Label_1220US.zip
Post_Label_9182US.zip
Post_Label_US8732.zip - Spam odkazující nedoručenou poštu
- Předmět:
Canada Post shipment status
USPS Invoice copy NO#42406547 - Soubor v příloze:
Delivery_Information_AU.exe
Post_Label_US2012.zip - Spam odkazující "license key"Pro Adobe InDesign Creative Suite 4
- Předmět:
InDesign CS4 License key #Order 0028
InDesign CS4 License key #Order 2203
InDesign CS4 License key #Order 3910
Your InDesign CS4 License key here
Your InDesign CS4 License key Order 0437 - Soubor v příloze:
License_Key_#5145.zip
License_Key_#6405.zip
License_key_ID324.zip
License_key_ID600.zip
License_key_ID726.zip - Spam odkazování FedEx
- Předmět:
Delivery Error No7766
Delivery Error No8054
FedEx Delivery Error No9705
Fedex Invoice copy NO#9587
Track your parcel
Track your shipment NO4820
You need to get a parcel number 2543
You need to get a parcel number 78609
Your package is available for pickup.NO#5153 - Soubor v příloze:
FedEx_Invoice.zip
FEDEX_INVOICE_ID191-44.zip
FEDEX_INVOICE_ID378-45.zip
Invoice_ID167235.zip
Invoice_ID267485.zip
Invoice_ID757731.zip - Spam odkazující na "sexy fotografie" v němčině
- Předmět:
hallo meine neuer Freund
Heute ist ein scho"ner Tag! Haben Sie !!!! - Soubor v příloze:
sexy_photo.zip
sexy_photo1322209355.zip
Pokud je dráha, TrojanDownloader:Win32/Dofoil.O klesne kopii trojan jako soubor s názvem "csrss.exe"Náhodně nebo jako soubor s názvem, jako v následujících příkladech:
- c:\documents and settings\administrator\application data\csrss.exe
- c:\documents and settings\administrator\application data\4a07e3.exe
Registr je upraven tak, aby spuštění trojský kůň v každé Windows start.
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: " <variable name> "
Vzhledem k objemu dat: "%AppData%\<trojan soubor name> "
Nastaví hodnotu: " <variable name> "
Vzhledem k objemu dat: "%AppData%\<trojan soubor name> "
Například:
V podklíči:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "Netscape"
S údaje: "c:\documents and settings\administrator\application data\csrss.exe" nebo v podklíči:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "FlySky"
S údaje: "c:\documents and settings\administrator\application data\4a07e3.exe"
V podklíči:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "Netscape"
S údaje: "c:\documents and settings\administrator\application data\csrss.exe" nebo v podklíči:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "FlySky"
S údaje: "c:\documents and settings\administrator\application data\4a07e3.exe"
Další malware, jako například DDoS:Win32/Dofoil.A, Může být instalován současně s TrojanDownloader:Win32/Dofoil.O v postiženém systému.
Užitečná
Ke stažení a vykonává libovolné soubory
TrojanDownloader:Win32/Dofoil.O vstřikuje kód do procesu systému Windows "svchost.exe", Který se snaží připojit ke vzdálenému serveru pomocíHTTPprotokol. Je-li připojení úspěšně navázáno mezi postiženou počítačem a vzdáleným serverem, trojský kůň obdrží odpověď, která obsahuje šifrovaná data konfigurace, které se mohou skládat zURLS a provedení volby. Jeden nebo více binární soubory jsou pak staženy a dešifrovat. Ve volné přírodě,TrojanDownloader:Win32/Dofoil.O Bylo pozorováno, že komunikovat s jedním z těchto vzdálených serverů pro tento účel:
87.229.126.28
87.229.126.29
belgorods.ru
ennriver.in
hohlushki.mcdir.ru
kendoriver.in
labrador2011.ru
myopt.jino.ru
polivar.net
sdfdsfjke.com
shower125222.ru
shower464719.ru
sjiejuhee.com
south27837.ru
south78483825.ru
total236531.ru
total336653.ru
waytraffic.net
wwidow.com
wwidow77.com
yukon2011.ru
87.229.126.29
belgorods.ru
ennriver.in
hohlushki.mcdir.ru
kendoriver.in
labrador2011.ru
myopt.jino.ru
polivar.net
sdfdsfjke.com
shower125222.ru
shower464719.ru
sjiejuhee.com
south27837.ru
south78483825.ru
total236531.ru
total336653.ru
waytraffic.net
wwidow.com
wwidow77.com
yukon2011.ru
Získané soubory jsou napsané na disk ve %Temp% složky a spustit, nebo mohou být načten a injekčně přímo do jiného procesu.
Žádné komentáře:
Okomentovat