Nome del virus:TR/PSW.Raven.A
Scoperto:10/03/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:31.913 Byte
Somma di controllo MD5:8b0908665655c086ae2277f913ec9a86
Versione VDF:6.34.00.26

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\msoff.exe



Vengono creati i seguenti file:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%stringa di caratteri casuale% Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

%TEMPDIR%\jav2.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contiene parametri utilizzati dal malware.
– %ALLUSERSPROFILE%\raven2BG_%stringa di caratteri casuale%dat Questo file funge da flag per una procedura interna.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Backdoor Viene aperta la seguente porta:

– svchost.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 5.


Contatta il server:
Tutti i seguenti:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • File LOG creati
    • Utente corrente
    • Indirizzo IP
    • Porta aperta
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Inizia keylog

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web, che nel suo URL contiene la seguente sottostringa, viene avviata una procedura di “tracciamento”:
   • %parametri forniti%

– Cattura:
    • Informazioni della finestra
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %TEMPDIR%\jav2.tmp

    Tutti i seguenti processi:
   • svchost.exe
   • lsass.exe


 Varie Mutex:
Crea i seguenti Mutex:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 2.0

Descrizione inserita da Andrei Gherman su mercoledì 15 marzo 2006
Descrizione aggiornata da Andrei Gherman su mercoledì 15 marzo 2006

Indietro . . . .