Nome del virus:Joke/Renos.W
Scoperto:31/10/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:28.160 Byte
Somma di controllo MD5:fa7582def8348c22b69a4bb360eff64b
Versione VDF:6.32.00.117

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.s


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica un file
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • c:\winstall.exe



Vengono creati i seguenti file:

– File “non maligni”:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\IESecurity.dll;
      C:\Program Files\SpySheriff\notfound.wav; C:\Program
      Files\SpySheriff\ProcMon.dll; C:\Program Files\SpySheriff\removed.wav;
      C:\Program Files\SpySheriff\SpySheriff.exe; C:\Program
      Files\SpySheriff\Uninstall.exe; C:\Program Files\SpySheriff\SpySheriff.dvm

– Crea il seguente archivio contenente una copia del malware:
   • %PROGRAM FILES%\asdfasdfasdfasdfasdfasdfasdfasdf

%WINDIR%\desktop.html



Prova a scaricare un file:

– La posizione è la seguente:
   • www.spy**********.com/trial.php?rest=0&ver=14087464&a=00000088
Viene salvato in locale sotto: %HOME%\Application Data\Install.dat Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="c:\winstall.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoDesktop



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKCU\SOFTWARE\Install]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • "DeskHtmlVersion"=dword:00000110
   • "DeskHtmlMinorVersion"=dword:00000005
   • "Settings"=dword:00000001
   • "GeneralFlags"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]
   • "Source"="About:Home"
   • "SubscribedURL"="About:Home"
   • "FriendlyName"="My Current Home Page"
   • "Flags"=dword:00000002
   • "Position"=hex:%valori esadecimali%
   • "CurrentState"=dword:40000004
   • "OriginalStateInfo"=hex:%valori esadecimali%
   • "RestoredStateInfo"=hex::%valori esadecimali%



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "Wallpaper"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Wallpaper"="%WINDIR%\desktop.html"

– [HKCU\Control Panel\Desktop]
   Valore precedente:
   • "Pattern"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Pattern"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoDriveTypeAutoRun"=dword:%impostazioni definite dell'utente%
     "NoActiveDesktop"=dword:%impostazioni definite dell'utente%
     "ClassicShell"=dword:%impostazioni definite dell'utente%
     "ForceActiveDesktopOn"=dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoDriveTypeAutoRun"=dword:00000091
     "NoActiveDesktop"=dword:00000000
     "ClassicShell"=dword:00000000
     "ForceActiveDesktopOn"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Valore precedente:
   • "WallpaperFileTime"=hex:%impostazioni definite dell'utente%
     "WallpaperLocalFileTime"=hex:%impostazioni definite dell'utente%
     "TileWallpaper"="%impostazioni definite dell'utente%"
     "WallpaperStyle"="%impostazioni definite dell'utente%"
     "ComponentsPositioned"=dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • "WallpaperFileTime"=hex:be,a1,a0,ff,22,de,c5,01
     "WallpaperLocalFileTime"=hex:be,71,29,c3,33,de,c5,01
     "TileWallpaper"="0"
     "WallpaperStyle"="2"
     "ComponentsPositioned"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Valore precedente:
   • "NoChangingWallpaper"=dword:%impostazioni definite dell'utente%
     "NoComponents"=dword:%impostazioni definite dell'utente%
     "NoAddingComponents"=dword:%impostazioni definite dell'utente%
     "NoDeletingComponents"=dword:%impostazioni definite dell'utente%
     "NoEditingComponents"=dword:%impostazioni definite dell'utente%
     "NoHTMLWallPaper"=dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoChangingWallpaper"=dword:00000000
     "NoComponents"=dword:00000000
     "NoAddingComponents"=dword:00000000
     "NoDeletingComponents"=dword:00000000
     "NoEditingComponents"=dword:00000000
     "NoHTMLWallPaper"=dword:00000000

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Iulia Diaconescu su martedì 1 novembre 2005
Descrizione aggiornata da Iulia Diaconescu su lunedì 12 dicembre 2005

Indietro . . . .