středa 9. května 2012

TrojanDownloader:Win32/Phdet.E


Shrnutí

TrojanDownloader:Win32/Phdet.Eje trojan, který se pokouší komunikovat se vzdáleným serverem ke stažení konfiguračních dat a následné systému související informace. Trojan může poslat spam získaných e-mailové adresy pomocí specifické SMTP servery.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto registru změnami: V podklíč:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
    Nastaví hodnotu: "id"
    Chcete-li údaje: "<digits>" V podklíč:

    HKCU\SOFTWARE\MSOLoad
    Nastaví hodnotu: "krnl_sleepfreq"
    Vzhledem k objemu dat: " 30 "
  • Varovná oznámení nebo zjištění tohoto malwaru z nainstalovaného antiviru nebo bezpečnostního softwaru může být jen další příznaky.


 

Technické informace (analýza)

TrojanDownloader:Win32/Phdet.Eje trojan, který se pokouší komunikovat se vzdáleným serverem ke stažení konfiguračních dat a následné systému související informace. Trojan může poslat spam získaných e-mailové adresy pomocí specifické SMTP servery.
Instalace
TrojanDownloader:Win32/Phdet.Emůže být nainstalován jiným malwarem. Při spuštění,TrojanDownloader:Win32/Phdet.Evytváří mutex s názvem " Global \ {66C44A83-3E94-438b-8278-812E2D8D603F} "zajistit, že pouze jedna instance Trojan provádí najednou. To vytváří a uchovává data registru jako následující:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
Nastaví hodnotu: "id"
Chcete-li data: "<digits>"
V podklíč: HKCU\SOFTWARE\MSOLoad
Nastaví hodnotu: "krnl_sleepfreq"
Vzhledem k objemu dat: " 30 " 
Užitečná
Upravuje Tcpip nastavení
Trojan změní TCPIP uložené nastavení úpravou registru následující údaje:
V podklíč: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Nastaví hodnotu: "MaxUserPort"
S údaje: "þ" Nastaví hodnotu: "

TcpNumConnections"
S údaje: "þ"
Znak Unicode "þ"Nastaví desítková hodnota 254, což umožňuje maximální 255 porty a konektory.
Ke stažení libovolné soubory
Win32/Phdet.E snaží komunikovat ke vzdáleným serverům pro získání konfiguračních dat a následné systému související informace ke vzdáleným serverům. Ve volné přírodě byl tento trojan pozorováno, aby se pokusili připojení na následující IP adres pomocí TCP port 80:
  • 91.216.141.129
  • 89.248.168.139
  • 62.122.73.203
Pošle spamu
Tento trojský kůň používá konfigurační údaje, které obdrží ze vzdáleného serveru poslat tento spam. Konfigurační údaje by mohly obsahovat adresy cílových e-mailových. Win32/Phdet.E byl pozorován použít následující servery SMTP při odesílání spamu:
  • mx1.hotmail.com
  • a.mx.mail.yahoo.com
  • mailin-01.mx.aol.com
  • google.com.s9a2.psmtp.com

Žádné komentáře:

Okomentovat