Encyklopedický vstup
Aktualizováno: 25.května 2011 | Zveřejněno: Duben 12, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 25.května 2011 | Zveřejněno: Duben 12, 2010 Aliasy
-
Trojan-Downloader.Win32.Agent.disn (Kaspersky)
- Trojan.Pws.Agent.AD (BitDefender)
- Trojan.DownLoad1.42328 (Dr.Web)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.77.213.0 Vydáno: 02.3.2010 |
Shrnutí
Trojan:Win32/Simdaje vícekomponentní trojan, který stáhne a spustí libovolný soubor. Tyto soubory mohou obsahovat další malware.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto úprav registru:
Přidanou hodnotu: "userinit"Vzhledem k objemu dat: ". <system folder> \ Userinit.exe, <system folder> \ <random_number> exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Přidanou hodnotu: "m1131"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Přidanou hodnotu: "m1132"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Přidanou hodnotu: "m1133"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Technické informace (analýza)
Trojan:Win32/Simdaje vícekomponentní trojan, který stáhne a spustí libovolný soubor. Tyto soubory mohou obsahovat další malware.
Instalace
Po spuštění malware:
- Zkontroluje, jestli je trojský kůň běží z <system folder>. Pokud není spuštěna ze systémové složky, Trojan:Win32/Simdakopíruje se jako folder> <system \ <random_number>. EXE
- Upravuje následující položka registru pro provedení její kopii na Windows začátku
Přidává hodnotu: "userinit"Vzhledem k objemu dat: "<system folder> \ Userinit.exe, <system folder> \ <random_number> exe."Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon - Vstřikuje kód do procesu "svchost.exe"
- Odstraní původní spustitelné
Poznámka - <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení a vykonává libovolné soubory
Trojan:Win32/Simda připojí ke vzdálenému počítači a poskytuje informace o nově infikované počítače.
To pak obdrží informace o konfiguraci, kde stáhnout další soubory a na jiných místech, z nichž ke stažení další konfigurační soubory. Stažené soubory se zapisují do%% TEMP složky, například C: \ Users \ < uživatelské jméno > \ AppData \ Local \ Temp. Tyto soubory mohou obsahovat další malware.
Ve volné přírodě, jsme pozorovali tyto oblasti jsou kontaktováni za tímto účelem:
gusssiss.com
orlikssss.com
asterixsss.com
Upraví nastavení zabezpečení
Trojan:Win32/Simdapoužívá různé techniky ve snaze pozdvihnout své privilegium. Snaží se přihlaste jako správce (pokud uživatel není správce již) pomocí seznam hesel:
- pomoc
- kámen
- Server
- projít
- idontknow
- správce
- admin
- 666666
- 111
- 12345678
- 1234
- fotbal
- abc123
- password1
- football1
- fuckyou
- opice
- iloveyou1
- superman1
- slipknot1
- jordan23
- princess1
- liverpool1
- monkey1
- baseball1
- 123abc
- qwerty1
- blink182
- myspace1
- pop
- user111
- 098765
- qweryuiopas
- qwe
- qwer
- QWERT
- qwerty
- asdfg
- chort
- nah
- xak
- xakep
- 111111
- 12345
- 2013
- 2007
- 2207
- 110
- 5554
- 775
- 354
- 1982
- 123
- heslo
- 123456
Vstřikuje kód
Pokud budou úspěšní při zvýšení úrovně oprávnění, Simda pokouší vnést DLL do procesu prostoru Winlogon.exe . Tato knihovna je detekován jako PWS slovy: Win32/Simda .
Exploitů zranitelností
Trojan:Win32/Simda také pokouší se využít následující chyby s cílem pomoci při získávání zvýšená oprávnění:
Další informace
Získané domény jsou pak uloženy na následující položky registru v zašifrované podobě, například:
Přidanou hodnotu: "m1131"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Přidanou hodnotu: "m1132"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Přidanou hodnotu: "m1133"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Žádné komentáře:
Okomentovat