Mô tả về mẫu Trojan.Win32.Oficla.w

Loại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biết đến với những tên sau: Trojan.Win32.Agent.duxv Trojan: (được phát hiện bởi Kaspersky Lab)SpyAgent-br.dll Mal/Oficla-A Trj/Sinowal.WZZ(McAfee) (Sophos) (Panda) (MS(OneCare)) (DrWeb)Trojan:Win32/Oficla.M Trojan.Oficla.38 Win32/Oficla.GN Trojan.Oficla.S Win32:Rootkit-gen Trojan.Win32.Oficla Generic17.CFKT TR/Spy.Inject.L Trojan.Sasfis W32/Oficla.FJ Trojan.Win32.Generic.5205573B Trojan.Win32.Oficla.w TROJ_DLOADR.SMVE [AVP] [Rtk] trojan(Nod32) (BitDef7) (AVAST) (Ikarus) (AVG) (AVIRA) (NAV) (Norman) (Rising) (FSecure) (TrendMicro)- Trojan.Win32.Sasfis.a (v) (Sunbelt) Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010 lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50 GMT...
Nội dung trích xuất từ tài liệu:
Mô tả về mẫu Trojan.Win32.Oficla.w Mô tả về mẫu Trojan.Win32.Oficla.wLoại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biếtđến với những tên sau:- Trojan.Win32.Agent.duxv (được phát hiện bởi Kaspersky Lab)- Trojan: SpyAgent-br.dll (McAfee)- Mal/Oficla-A (Sophos)- Trj/Sinowal.WZZ (Panda)- Trojan:Win32/Oficla.M (MS(OneCare))- Trojan.Oficla.38 (DrWeb)- Win32/Oficla.GN trojan (Nod32)- Trojan.Oficla.S (BitDef7)- Win32:Rootkit-gen [Rtk] (AVAST)- Trojan.Win32.Oficla (Ikarus)- Generic17.CFKT (AVG)- TR/Spy.Inject.L (AVIRA)- Trojan.Sasfis (NAV)- W32/Oficla.FJ (Norman)- Trojan.Win32.Generic.5205573B (Rising)- Trojan.Win32.Oficla.w [AVP] (FSecure)- TROJ_DLOADR.SMVE (TrendMicro)- Trojan.Win32.Sasfis.a (v) (Sunbelt)Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50GMT, và các thông tin phân tích được công bố vào 07/07/2010 - 11:08 GMT.Phân tích chi tiết về mặt kỹ thuậtTương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kíchhoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của nạnnhân. Và khi được kích hoạt, những chương trình Trojan này sẽ giải nén và tạo ranhững file của hệ thống Windows (*.dll) trong thư mục hệ thống có dạng:%system%\thxr.wgo. Đồng thời, để được kích hoạt cùng Windows khi khởi động,chúng sẽ tạo ra các khóa key trong Registry như sau:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]Shell=Explorer.exe rundll32.exe thxr.wgo nwfdtxQuá trình PayloadKhi cài đặt thành công, chương trình sẽ liên lạc với server chính:http://hu*********.ru /images/bb.phptại đây chúng sẽ nhận lại những tín hiệu chỉ thị với cú pháp lệnh và những tham sốdưới dạng sau: runurl:- Tải các file khác nhau về thư mục tạm %temp% từ những đường dẫn chỉ địnhbên trên và kích hoạt chúng: taskid- Chỉ định số các tác vụ cố định: delay- Chỉ định các server đã từng liên lạc: backurls- 1 danh sách địa chỉ các server hỗ trợ mà những chương trình độc hại này sẽ kếtnối tới sau đó. Và tất cả những địa chỉ này được lưu trữ tại khóa:[HKL\SOFTWARE\Classes\idid]reporturls- Sau khi câu lệnh này thực hiện chức năng kết nối tới server, chúng sẽ tiếp tụcnhận lệnh điều khiển từ những server khác.- Do vậy, chúng có thể liên tục tải và cài đặt các loại malware khác nhau trên máytính của nạn nhân. Tại thời điểm của bài viết này, tất cả các lệnh chúng nhận đượcđều hướng tới file duy nhất sau đây:http://russ**nmomds.ru/dogma.exe- Mặt khác, tin tặc còn có thể sử dụng những chương trình này để thay đổi và cấuhình lại những chương trình độc hại sẽ được sử dụng tiếp theo trên các serverkhác.