Nome del virus:TR/PSW.Lmir.aae.3
Scoperto:08/07/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:19.929 Byte
Somma di controllo MD5:0247bbc64162b9981ad008a59891d3da
Versione VDF:6.31.0.168

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Trojan
   •  Kaspersky: Trojan-PSW.Win32.Lmir.aae
   •  Bitdefender: Trojan.Pws.Lmir.AAE


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\yklgvh.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%WINDIR%\SchedLgU.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     
     [ ***** Most recent entry is above this line ***** ]
     
     

%SYSDIR%\Yklgvh.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSWTR.PSW.aae.2

%SYSDIR%\drivers\yklgvh.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/PcClient.K.1




Prova a scaricare dei file:

– La posizione è la seguente:
   • kissyou8**********.com/pcshare.txt
Viene salvato in locale sotto: %temporary internet files%\pcshare.txt Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

– La posizione è la seguente:
   • pcshare.txt
Viene salvato in locale sotto: %temporary internet files%\dlfile.asp Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "DisplayName"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Enum]
   • "0"="Root\\LEGACY_YKLGVH\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000]
   • "Service"="Yklgvh"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "ImagePath"=\??\%SYSDIR%\drivers\Yklgvh.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath"=%SYSDIR%\Yklgvh.exe -k netsvcs

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • Internet Explorer


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Sergiu Oprea su mercoledì 3 agosto 2005
Descrizione aggiornata da Sergiu Oprea su venerdì 30 settembre 2005

Indietro . . . .