12.02.2015, 00:02
Jak widzisz w paczce są dwa pliki,jeden to biblioteka a drugi PE czyli wykonywalny typu .exe.
Do działania jest własnie potrzebna ta biblioteka, która już po krótkiej analizie posiada widoczne importy takie jak np. wsock32.dll czyli można powiedzieć że biblioteka i jej funkcje są potrzebne to komunikacji z siecią
W bibliotece dodatkowo znajdują się sekcje spakowane upx w celu zmniejszenia ryzyka wykrycia itp. działań.
Podczas odpalenia programu wykonywalnego ładowany jest tylko jeden plik .windows.sys do lokalizacji w Windows xp takiej jak C:\Documents and Settings\All Users\Application Data i tyle z działań.
Nie dodaje się do autostartu ani innych lokalizacji.
Plus jest też taki że próbka zapewnia sobie przeżywalność kolejnych restartów.
Czyli jedyny cel tego zagrożenia to komunikacja sieciowa. Zagrożenie też się rozwinęło dodatkowo o komunikację z serwerami C&C i zyskał też funkcjonalność keyloggera
Do działania jest własnie potrzebna ta biblioteka, która już po krótkiej analizie posiada widoczne importy takie jak np. wsock32.dll czyli można powiedzieć że biblioteka i jej funkcje są potrzebne to komunikacji z siecią
W bibliotece dodatkowo znajdują się sekcje spakowane upx w celu zmniejszenia ryzyka wykrycia itp. działań.
Podczas odpalenia programu wykonywalnego ładowany jest tylko jeden plik .windows.sys do lokalizacji w Windows xp takiej jak C:\Documents and Settings\All Users\Application Data i tyle z działań.
Nie dodaje się do autostartu ani innych lokalizacji.
Plus jest też taki że próbka zapewnia sobie przeżywalność kolejnych restartów.
Czyli jedyny cel tego zagrożenia to komunikacja sieciowa. Zagrożenie też się rozwinęło dodatkowo o komunikację z serwerami C&C i zyskał też funkcjonalność keyloggera