Nome del virus:TR/Klog.Blue.A
Scoperto:28/10/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:24.520 Byte
Somma di controllo MD5:71a0e9a6f7290f9e68bc8d8218869929
Versione VDF:6.32.00.121

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Trojan.Keylogger.Blue.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\zprot32.exe



Vengono creati i seguenti file:

– C:\beta.htm
– C:\system.1st Questo file contiene le battute di tastiera recuperate.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "SystemSecurity"="zprot32.exe"

 Backdoor Contatta il server:
Il seguente:
   • http://**********.net/0000/1111-2222/3333-4444/5555-6666/7777-8888/9999-AAAA/BBBB.php

Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Indirizzi email recuperati
    • File LOG creati

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • OutlookExpress
   • MSN messenger
   • WebMoney

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Irina Boldea su venerdì 28 ottobre 2005
Descrizione aggiornata da Irina Boldea su venerdì 28 ottobre 2005

Indietro . . . .