pondělí 21. května 2012

Trojan.Dugenpal

Trojan.Dugenpal je trojský kůň, který se chová jako proxy server. 
Při spuštění Trojan, může kopírovat sebe jako následující soubory: 
  • % USERPROFILE% \ Data aplikací \ Engel \ updates.exe
  • % USERPROFILE% \ Application Data \ aktualizace \ updates.exe
  • SystemDrive%% \ Documents and Settings \ All Users \ Nabídka Start \ Programy \ Po spuštění \ updates.exe
  • % USERPROFILE% \ Application Data \ Microsoft \ Windows \ Nabídka Start \ Programy \ Po spuštění \ YOUTUBE.PLAYER.exe

To pak vytvoří následující položku registru, takže to běží při každém startu Windows: 
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Engel" = "% USERPROFILE% \ Application Data \ aktualizace \ updates.exe" To pak vytváří následující položky registru: 


  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ \ "Sdružení LowRiskFileTypes" = ". Exe"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \ "DHCP" = "[Náhodná čísla]"

Trojský kůň poté upraví Windows firewall pravidla na odstranění omezení pro přístup na Internet. Obsahuje seznam vzdálených serverů, a dotkne všech z nich, dokud nenajde server neodpovídá. Komunikace používá HTTP protokol, ale přes nestandardní port 3128. Pokud vzdálený server naslouchá, Trojan provádí požadavek POST podobná následující: [http:] / / [IP adresa]:. 3128 / + [náhodný název souboru] html Po této žádosti, hrozba se chová jako proxy server , přesměrování provozu pro vzdálený útočník. Poznámka: Společnost Symantec sledoval Trojan pomocí proxy jako anonymizér pro webmail a e-mailové komunikace. Následuje seznam serverů v současné době používaných Trojan: 









  • 41.223.57.76
  • 95.56.135.68
  • 95.211.151.172
  • 93.185.70.28
  • 91.215.141.145
  • 91.151.159.1
  • 89.28.6.113
  • 89.106.237.248
  • 87.69.199.246
  • 87.247.15.108
  • 86.126.9.9
  • 85.130.98.101
  • 82.228.97.240
  • 82.132.65.253
  • 81.10.0.18
  • 80.90.168.16
  • 80.241.38.165
  • 79.119.16.217
  • 75.64.118.62
  • 71.86.180.88
  • 71.46.106.234
  • 70.170.64.179
  • 66.190.204.39
  • 61.0.33.12
  • 46.100.109.158
  • 41.80.249.104
  • 41.78.17.190
  • 41.248.214.147
  • 31.29.9.119
  • 24.107.164.141
  • 208.163.52.115
  • 207.191.247.37
  • 201.210.235.147
  • 200.83.186.177
  • 200.115.204.247
  • 2.178.243.170
  • 2.177.127.115
  • 2.133.66.56
  • 197.221.184.54
  • 197.179.34.96
  • 190.73.172.7
  • 190.45.133.67
  • 190.39.16.252
  • 190.213.199.20
  • 190.213.15.230
  • 190.205.21.150
  • 190.162.233.169
  • 190.142.242.185
  • 190.120.162.3
  • 190.113.194.128
  • 189.196.140.12
  • 189.195.3.58
  • 189.194.251.254
  • 187.80.5.109
  • 187.80.144.202
  • 186.88.240.63
  • 186.42.213.213
  • 186.127.42.22
  • 186.127.163.237
  • 178.148.128.156
  • 178.127.67.17
  • 178.125.154.36
  • 178.123.191.233
  • 178.123.156.114
  • 177.100.136.231
  • 146.185.30.114
  • 14.99.76.57
  • 14.37.80.178
  • 136.145.74.58
  • 132.205.165.232
  • 124.123.167.78
  • 123.201.139.109
  • 121.169.142.139
  • 117.239.64.177
  • 117.239.101.66
  • 117.18.215.123
  • 116.43.53.6
  • 114.79.60.175
  • 112.202.124.187
  • 78.38.149.250
  • 77.245.6.90
  • 210.212.170.65
  • 93.116.154.250
  • 81.10.0.17
  • 74.115.3.63
  • 98.30.152.196
  • 95.65.36.51
  • 95.59.228.37
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)