sobota 19. května 2012

Trojan:Win32/Simda


Encyklopedický vstup
Aktualizováno: 25.května 2011  |  Zveřejněno: Duben 12, 2010 Aliasy


  • Trojan-Downloader.Win32.Agent.disn (Kaspersky)
  • Trojan.Pws.Agent.AD (BitDefender)
  • Trojan.DownLoad1.42328 (Dr.Web)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.273.0
Vydáno: 19.května 2012		Detekce původně vytvořeny:
Definice: 1.77.213.0
Vydáno: 02.3.2010

Na této stránce

Shrnutí záložky | Příznaky Technické informace Prevence zotavení

 

Shrnutí

Trojan:Win32/Simdaje vícekomponentní trojan, který stáhne a spustí libovolný soubor. Tyto soubory mohou obsahovat další malware. 

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto úprav registru:
    • Přidanou hodnotu: "userinit"Vzhledem k objemu dat: ". <system folder> \ Userinit.exe, <system folder> \ <random_number> exe"
    Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    Přidanou hodnotu: "m1131"
    Vzhledem k objemu dat: <encrypted URL>
    Chcete-li podklíč: HKLM \ Software \ Microsoft
    Přidanou hodnotu: "m1132"
    Vzhledem k objemu dat: <encrypted URL>
    Chcete-li podklíč: HKLM \ Software \ Microsoft
     
    Přidanou hodnotu:  "m1133" 
    Vzhledem k objemu dat: <encrypted URL>
    Chcete-li podklíč: HKLM \ Software \ Microsoft

Top

 

Technické informace (analýza)

Trojan:Win32/Simdaje vícekomponentní trojan, který stáhne a spustí libovolný soubor. Tyto soubory mohou obsahovat další malware. 
Instalace
Po spuštění malware:
  • Zkontroluje, jestli je trojský kůň běží z <system folder>. Pokud není spuštěna ze systémové složky, Trojan:Win32/Simdakopíruje se jako folder> <system \ <random_number>. EXE
  • Upravuje následující položka registru pro provedení její kopii na Windows začátku
    Přidává hodnotu: "userinit"Vzhledem k objemu dat: "<system folder> \ Userinit.exe, <system folder> \ <random_number> exe."Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  • Vstřikuje kód do procesu "svchost.exe"
  • Odstraní původní spustitelné
 
Poznámka - <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Užitečná
Ke stažení a vykonává libovolné soubory
Trojan:Win32/Simda připojí ke vzdálenému počítači a poskytuje informace o nově infikované počítače.
 
To pak obdrží informace o konfiguraci, kde stáhnout další soubory a na jiných místech, z nichž ke stažení další konfigurační soubory. Stažené soubory se zapisují do%% TEMP složky, například C: \ Users \ < uživatelské jméno > \ AppData \ Local \ Temp. Tyto soubory mohou obsahovat další malware.
 
Ve volné přírodě, jsme pozorovali tyto oblasti jsou kontaktováni za tímto účelem:
 
gusssiss.com
orlikssss.com
asterixsss.com
Upraví nastavení zabezpečení
Trojan:Win32/Simdapoužívá různé techniky ve snaze pozdvihnout své privilegium. Snaží se přihlaste jako správce (pokud uživatel není správce již) pomocí seznam hesel:
  • pomoc
  • kámen
  • Server
  • projít
  • idontknow
  • správce
  • admin
  • 666666
  • 111
  • 12345678
  • 1234
  • fotbal
  • abc123
  • password1
  • football1
  • fuckyou
  • opice
  • iloveyou1
  • superman1
  • slipknot1
  • jordan23
  • princess1
  • liverpool1
  • monkey1
  • baseball1
  • 123abc
  • qwerty1
  • blink182
  • myspace1
  • pop
  • user111
  • 098765
  • qweryuiopas
  • qwe
  • qwer
  • QWERT
  • qwerty
  • asdfg
  • chort
  • nah
  • xak
  • xakep
  • 111111
  • 12345
  • 2013
  • 2007
  • 2207
  • 110
  • 5554
  • 775
  • 354
  • 1982
  • 123
  • heslo
  • 123456
Vstřikuje kód
Pokud budou úspěšní při zvýšení úrovně oprávnění, Simda pokouší vnést DLL do procesu prostoru Winlogon.exe . Tato knihovna je detekován jako PWS slovy: Win32/Simda .
Exploitů zranitelností
Trojan:Win32/Simda také pokouší se využít následující chyby s cílem pomoci při získávání zvýšená oprávnění:
Další informace
Získané domény jsou pak uloženy na následující položky registru v zašifrované podobě, například:
 
Přidanou hodnotu: "m1131"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
 
Přidanou hodnotu: "m1132"
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
 
Přidanou hodnotu:  "m1133" 
Vzhledem k objemu dat: <encrypted URL>
Chcete-li podklíč: HKLM \ Software \ Microsoft
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)