Nome del virus:TR/PSW.Lmir.53381
Scoperto:31/08/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:53.381 Byte
Somma di controllo MD5:377d336c659395f6faf9100b69eaa84a
Versione VDF:6.31.1.54

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Vengono cambiate le seguenti chiavi di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Valore precedente:
   • @=%impostazioni definite dell'utente%
   Nuovo valore:
   • @="%SYSDIR%\winl0gon.exe %1"

 Processi terminati Lista dei processi che vengono terminati:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

I processi con le seguenti caratteristiche vengono terminati:
    •  Titolo: Symantec AntiVirus     Nome classe: KV2004
    •  Titolo: RavMon.exe     Nome classe: RavMonClass
    •  Titolo: %stringa di caratteri casuale%     Nome classe: Tapplication
    •  Titolo: %stringa di caratteri casuale%     Nome classe: TForm1
    •  Titolo: %stringa di caratteri casuale%     Nome classe: TfLockDownMain
    •  Titolo: %stringa di caratteri casuale%     Nome classe: ZAFrameWnd
    •  Titolo: %stringa di caratteri casuale%     Nome classe: KvXP_ExpertFrame
    •  Titolo: %stringa di caratteri casuale%     Nome classe: WHXMDI0
    •  Titolo: RegEdit_RegEdit     Nome classe: TKillqqv
    •  Titolo: %stringa di caratteri casuale%     Nome classe: TfrmMain

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • Legend of Mir2
   • Legend of Mir3

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Irina Boldea su mercoledì 31 agosto 2005
Descrizione aggiornata da Irina Boldea su giovedì 1 settembre 2005

Indietro . . . .