Trojan.Win32.Oficla.w

Opisi virusa, 16.07.2010, 01:12 AM

Tehnički detalji

Trojan.Win32.Oficla.w je štetan program namenjen nevlašćenom pristupu i pokretanju drugih štetnih programa na računaru.

Instalacija

Kada se pokrene, Trojan.Win32.Oficla.w se sam ekstrahuje i kreira windows fajl (.dll fajl -dynamic-link library) u sistemskom folderu koji sadrži sledeće štetne funkcije:

%system%\thr.wgo

Kako bi osigurao automatsko pokretanje kada se sistem restartuje, Trojanac dodaje link ka kreiranom fajlu u system registry autorun key:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"

Payload

Kada instalirani program kontaktira komandni server:

http://hu*********.ru /images/bb.php

pri čemu dobije komandnu liniju sa sledećim komandama i parametrima_

"runurl"

- download-uje fajl u %temp% folder koristeći naznačeni url i pokreće ga.

"taskid"

- označava broj zadatka

"delay"

- ukazuje na vreme kada je server bio kontaktiran

"backurls"

- listu dodatnih adresa komandnih servera sa kojima se Trojanac potom povezuje. Adrese se snimaju i čuvaju u registry key:

[HKL\SOFTWARE\Classes\idid]

"reporturls"

- posle ove komande Trojanac kontaktira dodatne komandne servere kako bi dobio druge komande.

Na ovaj način, delovanje ovog programa može dovesti do instaliranja drugih programa na kompjuteru. U vreme pisanja ovog teksta, program je dobijao komandu da download-uje i pokrene fajl:

http://russ**nmomds.ru/dogma.exe

Sajber-kriminalci mogu koristiti ove komande kako bi stalno prepodešavali ovaj štetni program kojeg potom korist novi komandni serveri.