Encyklopedický vstup
Aktualizováno: 10.05.2011 | Zveřejněno: Září 28, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 10.05.2011 | Zveřejněno: Září 28, 2010 Aliasy
-
BKDR_QAKBOT.SMB (Trend Micro)
- Trojan-PSW.Win32.Agent.qkr (Kaspersky)
- Troj/FakeAV-BCA (Sophos)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.285.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.77.911.0 Vydáno: 12.03.2010 |
Shrnutí
Trojan:Win32/Nedsym.Fje trojan, který distribuuje spam e-mailových zpráv. Je také shromažďuje informace o postiženého počítače a pošle ho zpátky do jeho velení a řízení (C & C) serveru. Trojan může také klesat další škodlivé složky na příslušném počítači.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů: < System > \ qtplugin.exe
- Přítomnost těchto úprav registru:
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ e.exe
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ f.exe
c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ iepv_sites.txt
V podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Nastaví hodnotu: "RegistryMonitor1"
S údaje: "c: \ windows \ system32 \ qtplugin.exe"
V podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ SetupNastaví hodnotu: "RegistryMonitor2 "
Vzhledem k objemu dat: "< náhodné číslo> "
S údaje: "c: \ windows \ system32 \ qtplugin.exe"
V podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ SetupNastaví hodnotu: "RegistryMonitor2 "
Vzhledem k objemu dat: "< náhodné číslo> "
Technické informace (analýza)
Trojan:Win32/Nedsym.Fje trojan, který distribuuje spam e-mailových zpráv. Je také shromažďuje informace o postiženého počítače a pošle ho zpátky do jeho velení a řízení (C & C) serveru. Trojan může klesnout další malware komponentu na příslušném počítači.
Instalace
Po spuštění Trojan:Win32/Nedsym.F kopie sebe sama do následujícího umístění:
- <system folder> \ qtplugin.exe
Poznámka: < systémové složky > odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Nastaví hodnotu: "RegistryMonitor1"
Vzhledem k objemu dat: "c: \ windows \ system32 \ qtplugin.exe"
Vzhledem k objemu dat: "c: \ windows \ system32 \ qtplugin.exe"
Trojan vytvoří následující klíč registru jako součást své instalace rutiny, které se používá jako identifikátor:
V podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Setup
Nastaví hodnotu: " RegistryMonitor2 "
Vzhledem k objemu dat: "<random číslo>"
Nastaví hodnotu: " RegistryMonitor2 "
Vzhledem k objemu dat: "<random číslo>"
Malware vytvoří následující soubory na postiženém počítači:
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ e.exe - detekována jako HackTool: Win32/Mailpassview
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ f.exe - detekována jako HackTool: Win32/Passview
- c: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ iepv_sites.txt
Užitečná
Kontakty vzdáleným strojům a distribuuje spam
Trojan:Win32/Nedsym.F načte konfigurační data z následujícího C & C serverů:
- 178.162.190.67
- 178.162.190.68
- 184.82.14.138
- 212.117.164.39
- 212.95.32.68
- 64.120.225.242
- 64.191.22.21
- 78.159.102.14
- 78.159.102.222
- 78.159.112.106
- 78.159.112.135
- 78.159.121.196
- 78.159.121.197
- 78.159.121.198
- 89.149.226.186
- 89.149.241.174
- 89.149.244.208
- 89.149.254.141
- 89.149.254.182
- 9.149.244.173
- 9.149.244.208
- 95.211.98.168
- 95.211.98.186
- 95.211.98.187
- 96.9.139.213
- Com-Chemie-Ns.com
- Com-Consultants-Ns.com
- Com-Server-Ns.com
- ComAsiaNs.com
- ComChemicalsNs.com
- ComConsultantsNs.com
- ComServerNs.com
- DNS-Entries.com
- Dns-ip-Config.com
- DNS-Protocol.com
- DnsDynamicIpConfig.com
- DnsIpConfig.com
- DnsStaticIpConfig.com
- EnterpriseIpDns.com
- InternetNs.com
- Ip-config-Mode.com
- Ip-config-Option.com
- Ip-config-Variables.com
- Ip-config-Variables.com?
- Ip-Protocol.com
- Ip-Ranges.com
- IpConfigEditor.com
- IpConfigError.com
- IpConfigMode.com
- IpConfigOption.com
- IpDnsClient.com
- IpDnsDatabase.com
- IpDnsDefinition.com
- IpDnsEntry.com
- IpDnsError.com
- IpDnsNames.com
- IpDnsRequest.com
- IpDnsSolutions.com
- IpDnsTraffic.com
- MobileIpConfig.com
- Net-Serve-Ns.com
- NetServeNs.com
- Reverse-IP-Config.com
- Whois-24.com
- WhoisDirekt.com
- Wireless-IP-Config.com
- agros.in
- aneni.in
- fraos.in
- loweb.in
- osenc.in
- sdich.in
Tato data obsahují informace o spamu šablon a co Simple Mail Transfer Protocol (SMTP) serveru to může použít.
Trojan:Win32/Nedsym.F také hlásí tyto informace zpět do C & C server:
Trojan:Win32/Nedsym.F také hlásí tyto informace zpět do C & C server:
- Bot ID
- Název počítače
- Počítač rychlost
- Systém v provozu
- Počet úspěšně odeslanou poštu
- Počet nepodařilo odeslané pošty
- Počet odeslaných zpráv bez povolení nebo zakázání příjmu potvrzení
- Výpisy doručených zpráv
- Čas poslední e-maily odesílané
- Poslední SMTP serveru používá
Tento trojský kůň má vestavěný SMTP engine a mohou být použity k odesílání nevyžádané hromadné e-mail (spam).
Upraví nastavení zabezpečení
Trojan:Win32/Nedsym.F upraví v příslušném počítači v nastavení internetového prohlížeče tím, že tyto změny v registru:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ ZoneMap
Nastaví hodnotu: " ProxyBypass "
Vzhledem k objemu dat: " 1 "
Nastaví hodnotu: " ProxyBypass "
Vzhledem k objemu dat: " 1 "
Žádné komentáře:
Okomentovat