BitDefender Antivirus
Contactaţi-ne | My BitDefender |

Trojan.Lopad.K

( Swizzor )
Raspandire : mare
Dauna : mare
Size: 18944
Descoperit : 2006 Apr 05

SYMPTOMS:

Se observa multiple instante ale procesului „Internet Explorer” in memorie.
Numeroase directoare, avand denumiri ciudate, situate in %appdata% ce contin diversi virusi, spyware, adware sub forma executabila(extensia exe).

TECHNICAL DESCRIPTION:

Calea exacta pentru "Internet Explorer" este extrasa din registrii.

Se verifica daca codul virusului se executa din spatiul de adrese a iexplorer. Daca nu se intampla acest lucru, este infectata o alta copie a iexplore.exe cu codul viral si apoi e lansata in executie.

Infectia se realizeaza astfel:
  • descarcarea altor fisiere (virusi, spyware, adware), avand extensia int de la o adresa url aleatoare de forma http://[aleator].bins.lop.com/[sters]
  • salvarea acestora in directorul %tmp%
  • mutarea si redenumirea acestora in directorul %appdata%, folosind un nume format din 3 cuvinte aleatoare dintr-un dictionar intern, la care se adauga extensia exe; de aici fisierele vor fi executate, la un moment dat.


    • Daca infectarea lui iexplorer esueaza atunci virusul ruleaza de sine statator si:

  • Daca linia de comanda nu contine sirul de caractere "923CCB1F", atunci o casuta de dialog cu titlul "Bad Elmo" si textul "You must install this software as part of the parent program. Press OK to exit." apare inainte de inchidere.
  • Daca in linia de comanda este prezent argumentul "-newkEm", atunci se cauta o fereastra de clasa "wwBYAwnd" si numele "windWWAA" si ii trimite un mesaj cu id-ul 0x533 dupa care iese. Daca fereastra nu poate fi gasita, se foloseste algoritmul din pasul 3 al procesului de infectie descris mai sus pentru a executa un fisier cu nume aleator(de exemplu cdromruleclose.exe) din %appdata%. Virusul va iesi, da nu inainte de a reincerca trimiterea mesajului anterior.
  • Daca in linia de comanda este prezent "SWIcertifiedEd 1", atunci este cautat fisierul „%tmp%\bis[numar aleator].tmp” si este sters. In continuare se realizeaza procesul de infectie descris mai sus.


    • Virusul foloseste siruri de caractere criptate pentru a face analiza sa dificila.

    Folosirea argumentelor din linia de comanda este folosita pentru a preveni detectia euristica.

    Removal instructions:

    Lasati BitDefender sa dezinfecteze fisierele infectate.

    ANALYZED BY:

    Marian RADU, virus researcher
    ©   2010 BITDEFENDER Hartă site | Termeni legali | Opinii despre site | LocaÅ£ii pe glob | Politica de confidenÅ£ialitate