Troj_Palored-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Palored-A contrôle le contenu des valeurs de la base de registre suivantes:

HKCU\Software\Microsoft\Windows\CurrentVersion\AppData

Sur un système par défaut il devrait être:

HKCU\Software\Microsoft\Windows\CurrentVersion\AppData = "C:\Documents and Settings\{Nom_utilisateur}\Application Data"

Le cheval de Troie trouve la localisation des programmes installés en regardant dans la sous clé de registre suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall

Palored-A sélectionne aléatoirement l'un de ces programmes et dépose son propre composant DLL dans le répertoire du programme. Il créait un nom aléatoire, en récupérant un nom de fichier sur le système ou en générant une chaîne de caractères.

Le troyen créait ensuite les clés de registre suivantes dans le but d'être exécuté par explorer.exe:

HKLM\Software\Classes\CLSID\{id_genere_aleatoirement}\InProcServer32\ThreadingModel = Apartment
HKLM\Software\Classes\CLSID\{id_genere_aleatoirement}\InProcServer32\InProcServer32\(Default) = {chemin du composant DLL déposé}
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ = "{CLSID}"

Palored-A créait également les valeurs suivantes, utilisées pour stocker les données encryptées:

HKLM\Software\Microsoft\IE Setup\Setup\key1 = 0x1001DB0
HKLM\Software\Microsoft\IE Setup\Setup\key2
HKLM\Software\Microsoft\IE Setup\Setup\key3

Il charge ainsi le composant DLL en utilisant RunDll32.exe.

Le troyen créait également les mutex suivants dans le but d'être exécuté qu'une seule fois sur la machine infectée:
M_DllMainTool32
M_PreloadTool32

Payload

Téléchargement et exécution de fichiers arbitraires

La fonction principale de Palored est de télécharger et exécuter des fichiers distants. Ils sont téléchargés sur l'un des serveurs suivants :

bssociety.com
koolvalue.com
www.megachop.ru
jggavin.com
convolutionreverbs.com
niksoftware.ru
ekabocreation.com
bigba.com
jirehcleartoclose.com
autonips.com
eatmydata.com
healthandwealthplus.com
kreuzeder.net
virtualexecassist.com
themomshop.com
ecargoplus.com
sockets.ru
islandcleaning.com
casaichosting.com
desertshieldfunding.com
mixmarketing.ru
jdataworks.com
xxxhoe.com
atlantacaster.com
jollytoys.net
crutop.ru
vmkdesign.com
minilov.com
vodouspirit.com

Le fichier téléchargé est stocké en tant que %Windows%\temp\{nom_aléatoire}.exe.

Note: '%System%' et '%Windows%' sont des variables locales. Palored-A détermine le chemin du répertoire du système et windows en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32. Le répertoire Windows par défaut pour Windows 2000 et NT est C:\Winnt; pour pour 95,98 et ME est C:\Windows\; et pour XP est C:\Windows\.

Suppression de fichiers

Palored tente de supprimer les fichiers suivants:
C:\Documents and Settings\qwe.hta
%System%\cm.exe