Mô tả về mẫu Trojan.Win32.Oficla.w

Mô tả về mẫu Trojan.Win32.Oficla.w Loại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biết đến với những tên sau: - Trojan.Win32.Agent.duxv (được phát hiện bởi Kaspersky Lab) - Trojan: - - SpyAgent-br.dll Mal/Oficla-A Trj/Sinowal.WZZ (McAfee) (Sophos) (Panda) - Trojan:Win32/Oficla.M - Trojan.Oficla.38 - Win32/Oficla.GN trojan - Trojan.Oficla.S - Win32:Rootkit-gen [Rtk] - Trojan.Win32.Oficla - Generic17.CFKT - TR/Spy.Inject.L - Trojan.Sasfis - W32/Oficla.FJ (MS(OneCare)) (DrWeb) (Nod32) (BitDef7) (AVAST) (Ikarus) (AVG) (AVIRA) (NAV) (Norman) - Trojan.Win32.Generic.5205573B (Rising) - Trojan.Win32.Oficla.w [AVP] - TROJ_DLOADR.SMVE (FSecure) (TrendMicro) - Trojan.Win32.Sasfis.a (v) (Sunbelt) Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010 lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50 GMT, và các thông tin phân tích được công bố vào 07/07/2010 - 11:08 GMT. Phân tích chi tiết về mặt kỹ thuật Tương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kích hoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của nạn nhân. Và khi được kích hoạt, những chương trình Trojan này sẽ giải nén và tạo ra những file của hệ thống Windows (*.dll) trong thư mục hệ thống có dạng: %system%\thxr.wgo. Đồng thời, để được kích hoạt cùng Windows khi khởi động, chúng sẽ tạo ra các khóa key trong Registry như sau: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx" Quá trình Payload Khi cài đặt thành công, chương trình sẽ liên lạc với server chính: http://hu*********.ru /images/bb.php tại đây chúng sẽ nhận lại những tín hiệu chỉ thị với cú pháp lệnh và những tham số dưới dạng sau: "runurl": - Tải các file khác nhau về thư mục tạm %temp% từ những đường dẫn chỉ định bên trên và kích hoạt chúng: "taskid" - Chỉ định số các - Chỉ định các server tác vụ cố đã từng liên định: "delay" lạc: "backurls" - 1 danh sách địa chỉ các server hỗ trợ mà những chương trình độc hại này sẽ kết nối tới sau đó. Và tất cả những địa chỉ này được lưu trữ tại khóa: [HKL\SOFTWARE\Classes\idid] "reporturls" - Sau khi câu lệnh này thực hiện chức năng kết nối tới server, chúng sẽ tiếp tục nhận lệnh điều khiển từ những server khác. - Do vậy, chúng có thể liên tục tải và cài đặt các loại malware khác nhau trên máy tính của nạn nhân. Tại thời điểm của bài viết này, tất cả các lệnh chúng nhận được đều hướng tới file duy nhất sau đây: http://russ**nmomds.ru/dogma.exe - Mặt khác, tin tặc còn có thể sử dụng những chương trình này để thay đổi và cấu hình lại những chương trình độc hại sẽ được sử dụng tiếp theo trên các server khác. ... - tailieumienphi.vn