Nome del virus:TR/Dldr.CWS.h.1.B
Scoperto:19/09/2005
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:13.824 Byte
Somma di controllo MD5:3bb19c92f33d0b89cf823bacea72efa9
Versione VDF:6.32.0.38

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\inetdata\services.exe



Una sezione viene aggiunta a un file.
– A: %WINDIR%\system.ini Con i seguenti contenuti:
   • load=%WINDIR%\inetdata\services.exe
     




Viene creato il seguente file:

%WINDIR%\inetdata\tmp



Prova a scaricare dei file:

– La posizione è la seguente:
   • traff-**********.com/ef.exe
Viene salvato in locale sotto: %WINDIR%\ef.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.CWS.C.2


– La posizione è la seguente:
   • traff-**********.com/killer.exe
Viene salvato in locale sotto: %WINDIR%\skiller.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.CWS.A


– La posizione è la seguente:
   • traff-**********.com/socks5.exe
Viene salvato in locale sotto: %WINDIR%\winsocks5.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Proxy.Small.bt.3


– La posizione è la seguente:
   • **********.com/mm.exe
Viene salvato in locale sotto: %WINDIR%\mm1.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.CWS.h.2


– La posizione è la seguente:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Viene salvato in locale sotto: %WINDIR%\inetdata\3.00.09.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Delf.BV.1

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%stringa di caratteri casuale%

 Backdoor Contatta il server:
Tutti i seguenti:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • ID della piattaforma
    • Attività locale dell'utente

 Varie Mutex:
Crea i seguenti Mutex:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Irina Boldea su lunedì 19 settembre 2005
Descrizione aggiornata da Irina Boldea su martedì 27 settembre 2005

Indietro . . . .