Nome del virus:Worm/Goldun.A
Scoperto:12/09/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:20.049 Byte
Somma di controllo MD5:a1f9189a474ca1b73dff4ebe05621981
Versione VDF:6.31.1.230

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.Goldun.a
   •  TrendMicro: WORM_GOLDUN.A
   •  Bitdefender: BehavesLike:Win32.ExplorerHijack


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File %SYSDIR%\mcfCC4.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\mcfdrv.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mcfCC4]
   • "DllName"="mcfCC4.dll"
   • "Startup"="mcfCC4"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "key4"="[117985925899296[CurrentUser]"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mcfdrv.sys
   • "DisplayName"="MCFservice"

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Enum]
   • "0"="Root\LEGACY_MCFDRV\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\iMesh\Client\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\Transfer]
   • "dir0"="012345:%SYSDIR%\User Local Files"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\iMesh\Client\LocalContent]
   Valore precedente:
   • "Dir0"="012345:%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   Valore precedente:
   • "Dir0"="012345:%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\iMesh\Client\LocalContent]
   Valore precedente:
   • "DisableSharing"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\LocalContent]
   Valore precedente:
   • "DisableSharing"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\Transfer]
   Valore precedente:
   • "DlDir0"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DlDir0"="%SYSDIR%\User Local Files"

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca la seguente directory:
   • %SYSDIR%\User Local Files\

   Se riuscito, i seguenti file vengono creati:
   • NAV2005_Keygen!.exe; NAV_updates__05.exe; XXX_teens_16-18.exe;
      WindowsXP boost.exe; photoshop__2005.exe;
      ana**********ex_photos.exe; TheBat!7.51.256.exe;
      NortonAntiVirus.exe; DrWEB_Key092007.exe; LAN_hacker_ver2.exe;
      NeT_KILLER_3.84.exe; julia_XXX_video.exe; Kaspersky_KEY08.exe;
      HACKER'S View 2.exe; Mozilla_1.9.927.exe; ProfessionalICQ.exe


 Backdoor Contatta il server:
Il seguente:
   • www.**********selwyn.com/IMAGES/PHOTOS/ppages/data.php

Come risultato può inviare alcune informazioni. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • File LOG creati
    • Utente corrente
    • ID della piattaforma

 Sottrazione di informazioni – Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • https://www.e-**********.com/acct/balance.asp
   • https://www.e-**********.com/acct/accountinfo.asp

– Cattura:
    • Informazioni della finestra
    • Informazioni di login

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 1.33

Descrizione inserita da Oliver Auerbach su lunedì 12 settembre 2005
Descrizione aggiornata da Iulia Diaconescu su martedì 13 settembre 2005

Indietro . . . .