Nome del virus:TR/Dldr.Krepper.G.2
Scoperto:19/09/2005
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:26.624 Byte
Somma di controllo MD5:105b31a167a5d9751ac15c3032394513
Versione VDF:6.26.0.8

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\inetdata\services.exe



Una sezione viene aggiunta a un file.
– A: %WINDIR%\System.ini Con i seguenti contenuti:
   • load=%WINDIR%\inetdata\winlogon.exe




Viene creato il seguente file:

%WINDIR%\inetdata\version.txt



Prova a scaricare dei file:

– La posizione è la seguente:
   • **********.com/gallerys/xpsystem/3.00.36.exe
Viene salvato in locale sotto: %WINDIR%\inetdata\winlogon.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.CWS.h.1.B


– La posizione è la seguente:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Viene salvato in locale sotto: %WINDIR%\inetdata\3.00.09.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Delf.BV.1

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%stringa di caratteri casuale%

 Backdoor Contatta il server:
Il seguente:
   • **********.com/gallerys/xpsystem/version.txt.php?

Come risultato viene fornita la capacità di controllare da remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
La risposta dei server è scritta nel file: %WINDIR%\inetdata\version.txt


Capacità di controllo remoto:
    • Download di file

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con i seguenti software di compressione:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Descrizione inserita da Irina Boldea su lunedì 19 settembre 2005
Descrizione aggiornata da Irina Boldea su martedì 27 settembre 2005

Indietro . . . .