pondělí 21. května 2012

TrojanDownloader:Win32/Dofoil.O


Encyklopedie vstup
Aktualizováno: 09.03.2012  |  Publikováno: leden 27, 2012 Aliasy


  • Trojan.Tenegour.9 (Dr.Web)
  • Downloader-CRD (McAfee)
  • Troj/Bredo-TZ (Sophos)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.71.0
Vydáno: 16.května 2012
Detekce původně vytvořeny:
Definice: 1.119.772.0
Vydáno: 27.ledna 2012


Na této stránce



 

Shrnutí

TrojanDownloader:Win32/Dofoil.O je trojan, který se snaží stahovat libovolné soubory z určitých vzdálených serverech. Tento trojan se lze setkat v souboru připojeného k e-mailové zprávy nevyžádané pošty.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost souboru s názvem "csrss.exe"Nebo náhodně pojmenovaný soubor, ve %AppData% složky, jako v následujících příkladech:
    • c:\documents and settings\administrator\application data\csrss.exe
    • c:\documents and settings\administrator\application data\4a07e3.exe


 

Technické informace (analýza)

TrojanDownloader:Win32/Dofoil.O je trojan, který se snaží stahovat libovolné soubory z určitých vzdálených serverech.
Instalace
Tento trojan se lze setkat v souboru připojeného k e-mailové zprávy nevyžádané pošty. V divočině, obsah zprávy a trojan název souboru se liší mezi spamových kampaní, a používásocial engineeringprvek odkazem důvěryhodných zdrojů zvýšit šanci příjemce vykonávajícího Trojan. Níže jsou uvedeny příklady spamových kampaní, které používají pestrý předmět a soubor příloh k distribuciTrojanDownloader:Win32/Dofoil.O:
  • Spam odkazování American Airlines
    • Předmět:
      Order has been completed
      Order#36513252
      Order#5733194
      Your Order##5500239
      Your Order#116482832
      Your Order#1767597
      Your Order#83807 has been completed
    • Soubor v příloze:
      AA_Ticket.zip
      Delivery_information.zip
      Ticket.zip
      Ticket_AA3412.zip
      Ticket_AA4173.zip
      Ticket_AA4911.zip
  • Spam odkazování DHL
    • Předmět:
      DHL #Delivery information
      Track your parcel No05451
      Your package can be received
      Your package is available for pickup.NR#66826
    • Soubor v příloze:
      Post_Label.zip
      Post_Label_1220US.zip
      Post_Label_9182US.zip
      Post_Label_US8732.zip
  • Spam odkazující nedoručenou poštu
    • Předmět:
      Canada Post shipment status
      USPS Invoice copy NO#42406547
    • Soubor v příloze:
      Delivery_Information_AU.exe
      Post_Label_US2012.zip
  • Spam odkazující "license key"Pro Adobe InDesign Creative Suite 4
    • Předmět:
      InDesign CS4 License key #Order 0028
      InDesign CS4 License key #Order 2203
      InDesign CS4 License key #Order 3910
      Your InDesign CS4 License key here
      Your InDesign CS4 License key Order 0437
    • Soubor v příloze:
      License_Key_#5145.zip
      License_Key_#6405.zip
      License_key_ID324.zip
      License_key_ID600.zip
      License_key_ID726.zip
  • Spam odkazování FedEx
    • Předmět:
      Delivery Error No7766
      Delivery Error No8054
      FedEx Delivery Error No9705
      Fedex Invoice copy NO#9587
      Track your parcel
      Track your shipment NO4820
      You need to get a parcel number 2543
      You need to get a parcel number 78609 
      Your package is available for pickup.NO#5153
    • Soubor v příloze:
      FedEx_Invoice.zip
      FEDEX_INVOICE_ID191-44.zip
      FEDEX_INVOICE_ID378-45.zip
      Invoice_ID167235.zip
      Invoice_ID267485.zip
      Invoice_ID757731.zip
  • Spam odkazující na "sexy fotografie" v němčině
    • Předmět:
      hallo meine neuer Freund
      Heute ist ein scho"ner Tag! Haben Sie !!!!
    • Soubor v příloze:
      sexy_photo.zip
      sexy_photo1322209355.zip
Pokud je dráha, TrojanDownloader:Win32/Dofoil.O klesne kopii trojan jako soubor s názvem "csrss.exe"Náhodně nebo jako soubor s názvem, jako v následujících příkladech:
  • c:\documents and settings\administrator\application data\csrss.exe
  • c:\documents and settings\administrator\application data\4a07e3.exe
Registr je upraven tak, aby spuštění trojský kůň v každé Windows start.
V podklíč:  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: " <variable name> " 
Vzhledem k objemu dat: "%AppData%\<trojan soubor name> "
Například:
V podklíči:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "Netscape"
S údaje: "c:\documents and settings\administrator\application data\csrss.exe" nebo v podklíči:



HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nastaví hodnotu: "FlySky"
S údaje: "c:\documents and settings\administrator\application data\4a07e3.exe"
Další malware, jako například DDoS:Win32/Dofoil.A, Může být instalován současně s TrojanDownloader:Win32/Dofoil.O v postiženém systému.
Užitečná
Ke stažení a vykonává libovolné soubory
TrojanDownloader:Win32/Dofoil.O vstřikuje kód do procesu systému Windows "svchost.exe", Který se snaží připojit ke vzdálenému serveru pomocíHTTPprotokol. Je-li připojení úspěšně navázáno mezi postiženou počítačem a vzdáleným serverem, trojský kůň obdrží odpověď, která obsahuje šifrovaná data konfigurace, které se mohou skládat zURLS a provedení volby. Jeden nebo více binární soubory jsou pak staženy a dešifrovat. Ve volné přírodě,TrojanDownloader:Win32/Dofoil.O Bylo pozorováno, že komunikovat s jedním z těchto vzdálených serverů pro tento účel:
87.229.126.28 
87.229.126.29 
belgorods.ru 
ennriver.in 
hohlushki.mcdir.ru 
kendoriver.in 
labrador2011.ru 
myopt.jino.ru 
polivar.net 
sdfdsfjke.com 
shower125222.ru 
shower464719.ru 
sjiejuhee.com 
south27837.ru 
south78483825.ru 
total236531.ru 
total336653.ru 
waytraffic.net 
wwidow.com 
wwidow77.com 
yukon2011.ru
Získané soubory jsou napsané na disk ve %Temp% složky a spustit, nebo mohou být načten a injekčně přímo do jiného procesu.

Žádné komentáře:

Okomentovat