Backdoor-Nibu.g

اندازه : 21088 بايت
نوع : Trojan Horse

محيطهاي قابل اجرا :

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

وقتي که Backdoor.Nibu.g اجرا ميشود ، تغييرات زير در سيستم ايجاد ميشود :

Backdoor-Nibu.g.dll را ایجاد و اجرا مینماید.

خودش را بصورت هاي زير کپي ميکند :

. %System%\Swchost.exe
· %System%\Svohost.exe
· %Startup%\Svchost.exe

فايلهاي زير را ايجاد مينمايد :

· %Windir%\Rundlln.sys
· %Windir%\Prntsvr.dll
· %Windir%\Temp\feff35a0.htm
· %Windir%\Temp\fe43e701.htm
· %Windir%\Temp\fa4537ef.tmp

مقدار زير را

"load32"="%System%\swchost.exe"

به کليد رجيستري زير اضافه مينمايد.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

بنابراين وقتي که ويندوز راه اندازي ميگردد تروجان اجرا ميشود.

يک فايل Dll ايجاد و فراخواني ميکند تا کليدهايي را که کاربر انتخاب ميکند را در اختيار خود بگيرد و غالبا از فايل %Windir%\Prntsvr.dll استفاده مينمايد.

همچنين ممکن است کليدهاي رجيستري زير را اضافه نمايد :

· HKEY_LOCAL_MACHINE\SOFTWARE\SARS
· HKEY_USERS\.DEFAULT\SOFTWARE\SARS

محتواي shell در کليد رجيستري زير را از "explorer.exe" به "explorer.exe %System%\svohost.exe" تغيير ميدهد.

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

محتواي فايل %Windir%\System.ini را با تغيير مقدار "Shell"="Explorer.exe" به "Shell"="explorer.exe %System%\svohost.exe" تغيير ميدهد.

پنجره هايي را که رشته زير در title bar خود دارند،جستجو نموده ، http:/ /www.whatpornsite.com/css/logger.php و کليدهاي انتخاب شده را درون آن تايپ کرده و داخل يک فايل log بصورت %Windir%\Prntk.log. نيز ذخيره ميکند.
دسترسي به بسياري از سايتهاي آنتي ويروس را با اضافه کرد ن خطوط زير به فايل %System%\Drivers\etc\hosts: غير فعال مينمايد.

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.