Backdoor:W32/Bohu.A

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Backdoor:W32/Bohu.A

Post30 sty 2011, 13:55

Nazwa: Backdoor:W32/Bohu.A
Wykrywany jako : Trojan-Dropper:W32/Bohu.A
Backdoor:W32/Bohu.A
Trojan:W32/Bohu.A.
Trojan.Generic.4982818
Kategoria: Malware
Typ: Worm
Platforma: W32

Działanie: Instaluje backdoor i łączy się z zewnętrznymi stronami w celu pozyskania nowych ustawień oraz innych komponentów, jak np monitor sieci.

Trojan-Dropper:W32/Bohu.A jest to a NullSoft installer zawierający:

* uuse-5905.exe
* %ProgramFiles%\baidu\dsop7.xml
* %ProgramFiles%\baidu\msfsg.exe

Program oprócz ich instalacji zmienia ustawienia IP, aby używać DHCP.

UUSE-5905.EXE

Ten plik instaluje aplikacje media player application. Robione jest to po to, aby użytkownik myślał, że ma do czynienia z prawdziwą aplikacją.


MSFSG.EXE

Ten plik jest używany do uruchamiania różnych procedur.
This file is some sort of utility that is being used by the malware for its different routines.

Może on

* Do końca pliku do końca pliku
*zmieniać ustawienia DNSgs
* kompresować i dekompresować próbki

Rozpoznawany jako Trojan.Generic.4982818.


DSOP7.XML

To kolejny instalator Nullsoft zawierający kolejne szkodniki. setup321046.exe jest wypakowywany przez msfsg.exe

SETUP321046.EXE zawiera:

* %ProgramFiles%\baidu\dsetup.exe
* %ProgramFiles%\baidu\mpflt.inf
* %ProgramFiles%\baidu\mpflt_m.inf
* %ProgramFiles%\baidu\msfsg.exe
* %ProgramFiles%\baidu\newnetgar.dll
* %ProgramFiles%\baidu\siglow.dll
* %ProgramFiles%\baidu\siglow.sys
* %ProgramFiles%\baidu\spass.dll
* %ProgramFiles%\baidu\SyssData.bin

Po wszystkim, SETUP321046.EXE używa on msfsg.exe do dodania śmieci do plików:

* %ProgramFiles%\baidu\dsetup.exe
* %ProgramFiles%\baidu\newnetgar.dll
* %ProgramFiles%\baidu\siglow.dll
* %ProgramFiles%\baidu\siglow.sys
* %ProgramFiles%\baidu\spass.dll

Następnie kopiuje:
* newnetgar.dll -> %System%\nethome32.dll
* spass.dll -> %System%\netplayone\netplayone.dll

SETUP321046.EXE dodaje wpisy rejestru i usługi:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\speednet_sph
PathName = %System%\netplayone\netplayone.dll
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetHomeIDE

SETUP321046.EXE uruchamia DSETUP.EXE, aby zainstalować NDIS driver:

* siglow.sys -> %System%\drivers\siglow.sys
* siglow.dll -> %System%\drivers\siglow.dll

SETUP321046.EXE zmienia ustawienia DNS na 61.158.160.197 i 61.158.160.206 używając msfsg.exe.

NEWNETGAR.DLL / NETHOME32.DLL

Łączy się następnie w celu pozyskania kolejnych komponentów określanych jako Backdoor:W32/Bohu.A.


SPASS.DLL / NETPLAYONE.DLL

Ten składnik monitoruje ruch sieciowy związany z następującymi procesami:

* safeboxtray.exe
* 360safebox.exe
* 360rp.exe
* 360safe.exe
* 360sd.exe
* dsmain.exe
* superkiller.exe
Po czym zmienia ruch na szkodliwe adresy.

SIGLOW.SYS / SIGLOW.DLL

Ten plik także zmienia miejsca docelowe w sieci. Rozpoznawany jest jako Trojan:W32/Bohu.A.

Źródło: f-secure
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość