MôtảvềmẫuTrojan.Win32.Oficla.w
Loại Trojan.Win32.Oficla.w – được Kaspersky phân loại và đặt tên, còn được biết
đến với những tên sau:
- Trojan.Win32.Agent.duxv (được phát hiện bởi Kaspersky Lab)
- Trojan: SpyAgent-br.dll (McAfee)
- Mal/Oficla-A (Sophos)
- Trj/Sinowal.WZZ (Panda)
- Trojan:Win32/Oficla.M (MS(OneCare))
- Trojan.Oficla.38 (DrWeb)
- Win32/Oficla.GN trojan (Nod32)
- Trojan.Oficla.S (BitDef7)
- Win32:Rootkit-gen [Rtk] (AVAST)
- Trojan.Win32.Oficla (Ikarus)
- Generic17.CFKT (AVG)
- TR/Spy.Inject.L (AVIRA)
- Trojan.Sasfis (NAV)
- W32/Oficla.FJ (Norman)
- Trojan.Win32.Generic.5205573B (Rising)
- Trojan.Win32.Oficla.w [AVP] (FSecure)
- TROJ_DLOADR.SMVE (TrendMicro)
- Trojan.Win32.Sasfis.a (v) (Sunbelt)
Dấu hiệu đầu tiên của Trojan.Win32.Oficla.w được phát hiện vào ngày 26/04/2010
lúc 21:24 GMT, chúng bắt đầu hoạt động sau đó 1 ngày – 27/04/2010 lúc 03:50
GMT, và các thông tin phân tích được công bố vào 07/07/2010 - 11:08 GMT.
Phân tích chi tiết về mặt kỹ thuật
Tương tự như các chương trình Trojan khác, chúng có cơ chế tự động tải và kích
hoạt các loại malware khác khi đã xâm nhập thành công vào máy tính của nạn
nhân. Và khi được kích hoạt, những chương trình Trojan này sẽ giải nén và tạo ra
những file của hệ thống Windows (*.dll) trong thư mục hệ thống có dạng:
%system%\thxr.wgo. Đồng thời, để được kích hoạt cùng Windows khi khởi động,
chúng sẽ tạo ra các khóa key trong Registry như sau:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe thxr.wgo nwfdtx"
Quá trình Payload
Khi cài đặt thành công, chương trình sẽ liên lạc với server chính:
http://hu*********.ru /images/bb.php
tại đây chúng sẽ nhận lại những tín hiệu chỉ thị với cú pháp lệnh và những tham số
dưới dạng sau: "runurl":
- Tải các file khác nhau về thư mục tạm %temp% từ những đường dẫn chỉ định
bên trên và kích hoạt chúng: "taskid"
- Chỉ định số các tác vụ cố định: "delay"
- Chỉ định các server đã từng liên lạc: "backurls"
- 1 danh sách địa chỉ các server hỗ trợ mà những chương trình độc hại này sẽ kết
nối tới sau đó. Và tất cả những địa chỉ này được lưu trữ tại khóa:
[HKL\SOFTWARE\Classes\idid]
"reporturls"
- Sau khi câu lệnh này thực hiện chức năng kết nối tới server, chúng sẽ tiếp tục
nhận lệnh điều khiển từ những server khác.
- Do vậy, chúng có thể liên tục tải và cài đặt các loại malware khác nhau trên máy
tính của nạn nhân. Tại thời điểm của bài viết này, tất cả các lệnh chúng nhận được
đều hướng tới file duy nhất sau đây:
http://russ**nmomds.ru/dogma.exe
- Mặt khác, tin tặc còn có thể sử dụng những chương trình này để thay đổi và cấu
hình lại những chương trình độc hại sẽ được sử dụng tiếp theo trên các server
khác.
. Mô tả về mẫu Trojan. Win32. Oficla. w Loại Trojan. Win32. Oficla. w – được Kaspersky phân loại và đặt tên, còn được biết đến với những tên sau: - Trojan. Win32. Agent.duxv (được. Lab) - Trojan: SpyAgent-br.dll (McAfee) - Mal /Oficla- A (Sophos) - Trj/Sinowal.WZZ (Panda) - Trojan: Win32/ Oficla. M (MS(OneCare)) - Trojan. Oficla. 38 (DrWeb) - Win32/ Oficla. GN trojan (Nod32). - Trojan. Win32. Generic.5205573B (Rising) - Trojan. Win32. Oficla. w [AVP] (FSecure) - TROJ_DLOADR.SMVE (TrendMicro) - Trojan. Win32. Sasfis.a (v) (Sunbelt) Dấu hiệu đầu tiên của Trojan. Win32. Oficla. w