Analisado por: Christopher Daniel So   
 Modificado por: : Roland Marco Dela Paz
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribui??o:
 infec??o relatada:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    N?o

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Vis?o geral

Um einen ?berblick ¨¹ber das Verhalten dieser Trojan zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Startet DoS-Angriffe auf bestimmte Websites. F¨¹hrt die besagte Routine aus, um zu verhindern, dass Benutzer diese Websites zu einem festgelegten Zeitpunkt ?ffnen k?nnen.

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

  Detalhes t¨¦cnicos

Portos Usados: UDP port 80 (HTTP), TCP Port 443
Tipo de compacta??o: ³Õ²¹°ù¨ª²¹
Tipo de arquivo: PE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 04 mar?o 2011
Carga ¨²til: Deletes files, Launches DoS/DDoS attacks, Modifies HOSTS file, Steals information, Prevents systems from loading the OS

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgef¨¹hrt wird, indem sie die folgenden Registrierungseintr?ge hinzuf¨¹gt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
m{3 random alphabetic characters}svc = "m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
w{2 random alphabetic characters}csvc = "w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
s{3 random alphabetic characters}svc = "s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
DisplayName = "Microsoft DNS resolve Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Description = "Provides DNS resolve.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\m{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
DisplayName = "Removal stoarage Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Description = "Allows Removal stoarage.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\s{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ImagePath = "%System Root%\system32\svchost.exe -k w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
DisplayName = "Windows DNS Security controler Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Description = "Transmits DNS Security controler.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc\Parameters
ServiceDll = "%System Root%\system32\w{2 random alphabetic characters}csvc.dll"

Registriert sich als Systemdienst, damit die Ausf¨¹hrung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschl¨¹ssel hinzuf¨¹gt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc

Denial-of-Service-Angriff (DoS)

Startet DoS-Angriffe gegen die folgenden Websites:

  • naver.com
  • daum.net
  • auction.co.kr
  • hangame.com
  • dcinside.com
  • gmarket.co.kr
  • cwd.go.kr
  • mofat.go.kr
  • nis.go.kr
  • unikorea.go.kr
  • assembly.go.kr
  • korea.go.kr
  • dapa.go.kr
  • police.go.kr
  • nts.go.kr
  • customs.go.kr
  • mnd.mil.kr
  • jcs.mil.kr
  • army.mil.kr
  • airforce.mil.kr
  • navy.mil.kr
  • usfk.mil
  • dema.mil.kr
  • kunsan.af.mil
  • kcc.go.kr
  • mopas.go.kr
  • kisa.or.kr
  • ahnlab.com
  • fsc.go.kr
  • kbstar.com
  • wooribank.com
  • hanabank.com
  • keb.co.kr
  • shinhan.com
  • jeilbank.co.kr
  • nonghyup.com
  • kiwoom.com
  • daishin.co.kr
  • korail.com
  • khnp.co.kr

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %System%\faultrep.dat - non-malicious file
  • %System%\tlntwye.dat - non-malicious file
  • %System%\tljoqgv.dat - encrypted list of sites to DDoS; non-malicious file
  • %System%\noise03.dat - non-malicious file

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Dateien ein:

  • %System%\rtdrvupr.exe - also detected as TROJ_QDDOS.A
  • %System%\m{3 random alphabetic characters}svc.dll - also detected as TROJ_QDDOS.A
  • %System%\w{2 random alphabetic characters}csvc.dll - also detected as TROJ_QDDOS.A
  • %System%\s{3 random alphabetic characters}svc.dll - also detected as TROJ_QDDOS.A

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Anschlie?end werden die eingeschleusten Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • nt{2 random alphabetic characters}{2 random numeric characters}.dll - also detected as TROJ_QDDOS.A

  Solu??o

Mecanismo de varredura m¨ªnima: 8.900
Primeiro arquivo padr?o VSAPI: 7.876.03
Data do lan?amento do primeiro padr?o VSAPI: 04 mar?o 2011
VSAPI OPR Pattern Version: 7.877.00
VSAPI OPR Pattern ver?ffentlicht am: 04 mar?o 2011

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Identifizieren Sie die Dateien, die als TROJ_QDDOS.A erkannt wurden, und verwenden Sie anschlie?end die Wiederherstellungskonsole, um den Master Boot Record wiederherzustellen und die Malware-Dateien zu l?schen.

[ Saber mais ]

Step 3

Diesen Registrierungsschl¨¹ssel l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • m{3 random alphabetic characters}svc
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • s{3 random alphabetic characters}svc
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • w{2 random alphabetic characters}csvc

Step 4

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    • m{3 random alphabetic characters}svc = m{3 random alphabetic characters}svc
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    • w{2 random alphabetic characters}csvc = w{2 random alphabetic characters}csvc
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    • s{3 random alphabetic characters}svc = s{3 random alphabetic characters}svc

Step 5

Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugef¨¹gt hat

[ Saber mais ]
    {BLOCKED}.{BLOCKED}.0.1 explicitupdate.alyac.co.kr
    {BLOCKED}.{BLOCKED}.0.1 gms.ahnlab.com
    {BLOCKED}.{BLOCKED}.0.1 ko-kr.albn.altools.com
    {BLOCKED}.{BLOCKED}.0.1 ko-kr.alupdatealyac.altools.com
    {BLOCKED}.{BLOCKED}.0.1 su.ahnlab.com
    {BLOCKED}.{BLOCKED}.0.1 su3.ahnlab.com
    {BLOCKED}.{BLOCKED}.0.1 update.ahnlab.com
    {BLOCKED}.{BLOCKED}.0.1 ahnlab.nefficient.co.kr

Step 6

Diese Dateien suchen und l?schen

[ Saber mais ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
  • %System%\faultrep.dat
  • %System%\noise03.dat
  • %System%\tlntwye.dat
  • %System%\tljoqgv.dat
  • %Windows%\KB24919.log

Step 7

F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als TROJ_QDDOS.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.

Step 8

Dateien ¨¹ber eine Sicherungskopie wiederherstellen Nur Microsoft basierte Dateien werden wiederhergestellt. Falls diese Malware/Grayware/Spyware auch Dateien aus Programmen gel?scht hat, die nicht von Microsoft stammen, installieren Sie diese Programme auf Ihrem Computer bitte neu.


Participe da nossa pesquisa!

Arquivo correspondente