Trojan.Zapchas.F

( Backdoor.IRC.Zapchast, Trojan.Dropper, IRC/Generic Flooder, Backdoor.IRC.Cloner.ae#1, Backdoor.WinBot )
Raspandire : mediu
Dauna : mare
Size: 914 976 bytes
Descoperit : 2006 Jul 07

SYMPTOMS:

- Prezenta fisierului svchost.exe in directorul “C:\WINDOWS\system\” (troianul nu detecteaza daca aveti Windows-ul instalat in alt director, iar in acest caz va fi creat directorul mentionat mai sus) cu o marime de 2 000 187 bytes;

- Prezenta fisiereului sup.bat in directorul “C:\WINDOWS\system\” cu marimea 28 bytes;

- Prezenta directoarelor “download”, “logs” si “sounds” in directorul “C:\WINDOWS\system\”;

- Prezenta unei chei de registri cu numele “GNP Generic Host Process” si valoarea “C:\WINDOWS\system\svchost.exe” in registrul HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

- Fisierul svchost.exe cere conexiune pe portul 6667 (daca aveti instalata o aplicatie de personal firewall)

TECHNICAL DESCRIPTION:

Troianul vine sub forma de arhiva rar auto-extractabila. Acesta este mascat sub un screensaver numit Cristina.scr care are 816 160 biti. Cand se executa, va dezarhiva 15 fisiere cu marimea totala de 2 000 187 biti in directorul “C:\WINDOWS\system\” (care va fi creat daca aveti instalat Windows-ul pe alta partitie). Va adauga programul “C:\WINDOWS\system\svchost.exe” extras din arhiva, in cheia de registri HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run cu numele “GNP Generic Host Process”. Aceasta este o versiune personalizata a programului mIRC, care se va conecta la canale IRC presabilite, cu un nume de utilizator ales aleator (dintr-o lista de 313 nume prestabilite) si va ascunde fereastra principala.

Programul executabil mIRC (svchost.exe) este infectat cu Win32.Parite.B care va fi activat cand este lansat executabilul. Acesta va incerca sa infecteze alte executabile, ceea ce poate duce la disfunctionalitati ale unor programe alese aleator.

Utilizatorii infectati sunt conectati la reteaua Undernet IRC si sunt inscrisi la canalul #aspy. Odata conectat, calculatorul va accepta comenzi de la un alt user. Aceste comenzi pot fi folosite pentru a executa orice program pe care creatorul doreste sa-l controleze si poate executa alte operatii legate de IRC (inscrierea la anumite canale, schimbarea numelor de utilizatori etc.)

Removal instructions:

Lasati BitDefender sa dezinfecteze sau sa stearga fisierele infectate.

ANALYZED BY:

Attila-Mihaly Balazs, virus researcher