| Typ: | Koń trojański | | Opis: | Tworzy serwer proxy i otwiera losowy port. Łącząc się z witryną http://z.pro<zablokowano>.ru za pośrednictwem skryptów PHP pobiera trzy biblioteki DLL o nazwach: PFPLGNFO.DLL, PFPLGPRX.DLL i PFPLGSCN.DLL. W celu ukrycia pobieranych plików używa technik typu rootkit. Zgromadzone informacje o zainfekowanym komputerze (numer IP, otwarty port) wysyła na serwer http://z.pro<zablokowano>.ru. |
ProxyServer.D nie posiada własnych mechanizmów pozwalających mu na rozprzestrzenianie się. Potrzebna jest interwencja użytkownika chcącego rozpowrzechnić go za pomocą takich dróg jak: - stacja dyskietek, napęd CD-ROM/DVD-ROM, flashdrive, wiadomość email z zainfekowanym załącznikiem, FTP, kanały IRC, pobranie zainfekowanego pliku z sieci Internet, sieć wymiany plików peer-to-peer itp.
ProxyServer.D przeprowadza następujące akcje: - Łącząc się z witryną http://z.pro<zablokowano>.ru za pośrednictwem skryptów PHP pobiera trzy biblioteki DLL o nazwach: PFPLGNFO.DLL, PFPLGPRX.DLL i PFPLGSCN.DLL.
- W celu ukrycia pobieranych plików używa technik typu rootkit.
- Na zainfekowanym komputerze instaluje sterownik.
- Tworzy serwer proxy i otwiera losowy port.
- W celu oceny szybkości łącza, za pomocą którego zainfekowany komputer połączony jest z siecią Internet, pobiera komunikator internetowy ICQ z kilku stron internetowych.
- W celu oceny szybkości łącza wysyła pakiet informacji do kilku zdefiniowanych adresów żądający odesłania go do wysyłającego (ping) .
- Zgromadzone informacje o zainfekowanym komputerze (numer IP, otwarty port) wysyła na serwer http://z.pro<zablokowano>.ru.
ProxyServer.D tworzy następujące pliki: - PFPLGFLT.DLL w folderze Windows.
- YCSVGC.SYS w podfolderze DRIVERS folderu systemowego Windows.
ProxyServer.D tworzy następujące wpisy do rejestru systemowego Windows: - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER
NextInstance = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
Class = LegacyDriver - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1} - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
ConfigFlags = 00, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
DeviceDesc = NdisFilter - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
Legacy = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000
Service = NdisFilter - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000 Control
*NewlyCreated* = 00, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Enum Root LEGACY_NDISFILTER 0000 Control
ActiveService = NdisFilter - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
DisplayName = NdisFilter - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
ErrorControl = 00, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
Group = Base - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
ImagePath = %folder systemowy%driversndisfilter.sys
gdzie %folder systemowy% jest ścieżką dostępu do folderu systemowego. - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
Start = 02, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter
Type = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Services NdisFilter Enum
0 = RootLEGACY_NDISFILTER |
