Nazwa: Backdoor:W32/Bohu.A
Wykrywany jako : Trojan-Dropper:W32/Bohu.A
Backdoor:W32/Bohu.A
Trojan:W32/Bohu.A.
Trojan.Generic.4982818
Kategoria: Malware
Typ: Worm
Platforma: W32
Działanie: Instaluje backdoor i łączy się z zewnętrznymi stronami w celu pozyskania nowych ustawień oraz innych komponentów, jak np monitor sieci.
Trojan-Dropper:W32/Bohu.A jest to a NullSoft installer zawierający:
* uuse-5905.exe
* %ProgramFiles%\baidu\dsop7.xml
* %ProgramFiles%\baidu\msfsg.exe
Program oprócz ich instalacji zmienia ustawienia IP, aby używać DHCP.
UUSE-5905.EXE
Ten plik instaluje aplikacje media player application. Robione jest to po to, aby użytkownik myślał, że ma do czynienia z prawdziwą aplikacją.
MSFSG.EXE
Ten plik jest używany do uruchamiania różnych procedur.
This file is some sort of utility that is being used by the malware for its different routines.
Może on
* Do końca pliku do końca pliku
*zmieniać ustawienia DNSgs
* kompresować i dekompresować próbki
Rozpoznawany jako Trojan.Generic.4982818.
DSOP7.XML
To kolejny instalator Nullsoft zawierający kolejne szkodniki. setup321046.exe jest wypakowywany przez msfsg.exe
SETUP321046.EXE zawiera:
* %ProgramFiles%\baidu\dsetup.exe
* %ProgramFiles%\baidu\mpflt.inf
* %ProgramFiles%\baidu\mpflt_m.inf
* %ProgramFiles%\baidu\msfsg.exe
* %ProgramFiles%\baidu\newnetgar.dll
* %ProgramFiles%\baidu\siglow.dll
* %ProgramFiles%\baidu\siglow.sys
* %ProgramFiles%\baidu\spass.dll
* %ProgramFiles%\baidu\SyssData.bin
Po wszystkim, SETUP321046.EXE używa on msfsg.exe do dodania śmieci do plików:
* %ProgramFiles%\baidu\dsetup.exe
* %ProgramFiles%\baidu\newnetgar.dll
* %ProgramFiles%\baidu\siglow.dll
* %ProgramFiles%\baidu\siglow.sys
* %ProgramFiles%\baidu\spass.dll
Następnie kopiuje:
* newnetgar.dll -> %System%\nethome32.dll
* spass.dll -> %System%\netplayone\netplayone.dll
SETUP321046.EXE dodaje wpisy rejestru i usługi:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\speednet_sph
PathName = %System%\netplayone\netplayone.dll
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetHomeIDE
SETUP321046.EXE uruchamia DSETUP.EXE, aby zainstalować NDIS driver:
* siglow.sys -> %System%\drivers\siglow.sys
* siglow.dll -> %System%\drivers\siglow.dll
SETUP321046.EXE zmienia ustawienia DNS na 61.158.160.197 i 61.158.160.206 używając msfsg.exe.
NEWNETGAR.DLL / NETHOME32.DLL
Łączy się następnie w celu pozyskania kolejnych komponentów określanych jako Backdoor:W32/Bohu.A.
SPASS.DLL / NETPLAYONE.DLL
Ten składnik monitoruje ruch sieciowy związany z następującymi procesami:
* safeboxtray.exe
* 360safebox.exe
* 360rp.exe
* 360safe.exe
* 360sd.exe
* dsmain.exe
* superkiller.exe
Po czym zmienia ruch na szkodliwe adresy.
SIGLOW.SYS / SIGLOW.DLL
Ten plik także zmienia miejsca docelowe w sieci. Rozpoznawany jest jako Trojan:W32/Bohu.A.
Źródło: f-secure
Backdoor:W32/Bohu.A
- cosik_ktosik
- Posty: 21399
- Rejestracja: 13 lis 2008, 01:17
- Lokalizacja: Szczecin
- Kontaktowanie:
Backdoor:W32/Bohu.A
Hotfix
Pozdrawiam, cosik_ktosik
Pozdrawiam, cosik_ktosik
-
- Reklama
Wróć do „Zagrożenia i leczenie”
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości