Nume:TR/Chinky.X
Descoperit pe data de:12/02/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:69.632 Bytes
MD5:769e8b8e8cf2c396ef2ad88452f5a2f1
Versiune IVDF:7.10.04.44 - Friday, February 12, 2010

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-AZH
   •  Panda: Trj/Downloader.XOF
   •  Eset: Win32/AutoRun.VB.LJ
   •  Bitdefender: Trojan.VB.Chinky.AD


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Sunt create fisierele:

%unitate disc%\Passwords .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\New Folder .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Pictures .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Video .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Documents .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Music .lnk Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\luirih.scr Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Chinky.X

– %HOME%\luirih.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Chinky.X

%unitate disc%\luirih.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Chinky.X




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%HOME%\luirih.exe"

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "luirih"="%HOME%\luirih.exe"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Shell Folders]
   Noua valoare:
   • "Common Desktop"="%ALLUSERSPROFILE%\Desktop"
   • "Common Documents"="%ALLUSERSPROFILE%\Documents"
   • "Common Start Menu"="%ALLUSERSPROFILE%\Start Menu"
   • "CommonMusic"="%ALLUSERSPROFILE%\Documents\My Music"
   • "CommonPictures"="%ALLUSERSPROFILE%\Documents\My Pictures"
   • "CommonVideo"="%ALLUSERSPROFILE%\Documents\My Videos"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor Deschide portul

– ns2.the**********.net pe portul TCP 8002

 Injectarea codului malware in alte procese – Injecteaza o rutina backdoor intr-un proces.

Este injectat in toate procesele.


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Criptare:
Criptare - Codul virusului este criptat in cadrul fisierului.

Polimorfism - Intregul cod viral se schimba la fiecare infectie. Virusul contine un motor polimorfic.

Description inserted by Petre Galan on Wednesday, May 12, 2010
Description updated by Petre Galan on Wednesday, May 12, 2010

Back . . . .