1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Анализ Trojan-Downloader.Win32.Banload.bpil

Тема в разделе "Борьба с типовыми зловредами", создана пользователем zirreX, 4 ноя 2011.

  1. zirreX

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Trojan-Downloader.Win32.Banload.bpil

    Данная троянская программа предназначена для загрузки из сети Интернет вредоносных программ и последующего их запуска. Размер файла 434688 байт (не упакован), Написан на Borland Delphi 6.0 - 7.0

    Техническая информация:
    MD5 : 6686ffbe5735175706ad27cf44019f1e
    SHA1 : fbd7be2c9d77edbc87f7138d2e8c4605a18cfa99
    SHA256: d512075aaafd56d3c54b4f8280d0a1e5434d491bcaf263886810f45a25939288


    Описание функционала:

    Для загрузки вредоносных файлов устанавливает соединение с удаленным хостом 203.112.218.83

    C:\Documents and Settings\User\Desktop\boleto.exe Connects to "203.112.218.83" on port 80 (TCP - HTTP).

    IP 203.112.218.83
    IP Location: Bangladesh
    Resolve Host: host83.btcl.net.bd


    Загруженные файлы:

    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\bck.bck
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\bola7.txt
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\h4714log.txt
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladoclass.png
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladofisica.png
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\tecladopersonal.png
    Created file in defined folder: C:\Documents and Settings\All Users\Application Data\teclaitajuridica.png
    Created file in defined folder: C:\Documents and Settings\User\Desktop\h4714log.txt
    Created file in defined folder: C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\OXIJCLMV\bck[1].bck

    C:\Documents and Settings\All Users\Application Data\clear.exe
    C:\Documents and Settings\All Users\Application Data\crsrc.exe
    C:\Documents and Settings\All Users\Application Data\iexplore.exe
    C:\Documents and Settings\All Users\Application Data\mbservice.exe
    C:\Documents and Settings\All Users\Application Data\smvices.exe
    C:\Documents and Settings\All Users\Application Data\Time.exe

    Запускает на исполнение процессы:
    C:\Documents and Settings\All Users\Application Data\mbservice.exe
    C:\Documents and Settings\All Users\Application Data\Time.exe

    Для автоматического запуска при каждом следующем старте системы создаётся ключ реестра:
    [HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run]
    "mbservice.exe=C:\Documents and Settings\All Users\Application Data\mbservice.exe"

    Содержимое файла C:\Documents and Settings\All Users\Application Data\h4714log.txt
    tipo=inf
    nomepc=HOME-PC
    mac=08-00-27-80-56-9E

    Имя компьютера-жертвы и mac-адрес.

    Список всех созданных мьютексов:
    * Creates a mutex "CTF.LBES.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "CTF.Compart.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "CTF.Asm.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "CTF.Layouts.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "CTF.TMD.MutexDefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "CTF.TimListCache.FMPDefaultS-1-5-21-117609710-854245398-1708537768-1003MUTEX.DefaultS-1-5-21-117609710-854245398-1708537768-1003".
    * Creates a mutex "Local\_!MSFTHISTORY!_".
    * Creates a mutex "Local\c:!documents and settings!user!local settings!temporary internet files!content.ie5!".
    * Creates a mutex "Local\c:!documents and settings!user!cookies!".
    * Creates a mutex "Local\c:!documents and settings!user!local settings!history!history.ie5!".
    * Creates a mutex "RasPbFile".
    * Creates a mutex "Local\ZonesCounterMutex".
    * Creates a mutex "Local\!IETld!Mutex".
    * Creates a mutex "Local\ZoneAttributeCacheCounterMutex".
    * Creates a mutex "Local\ZonesCacheCounterMutex".
    * Creates a mutex "Local\ZonesLockedCacheCounterMutex".
    * Creates a mutex "Fenix".

    Имеет функционал кейлоггера.
     

    Вложения:

    • Reports.rar
      Размер файла:
      10,1 КБ
      Просмотров:
      9
    16 пользователям это понравилось.
Загрузка...

Поделиться этой страницей