Nome del virus:TR/PSW.PdP.CT.1.E.3
Scoperto:17/03/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:24.302 Byte
Somma di controllo MD5:741f81f6154bd5115028579dcb9da082
Versione VDF:6.34.00.61

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.iw
   •  VirusBuster: Rootkit.Agent.10
   •  Bitdefender: Trojan.Spy.Goldun.IW


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

%SYSDIR%\axdebugl.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.GJ.1

%SYSDIR%\axdebugld.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.PdP.CT.1.E.3

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\axdebugl.sys"
   • "DisplayName"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
   • "Security"=%valori esadecimali%

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
   • "0"="Root\\LEGACY_AXDEBUGLD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
   • "Service"="axdebugld"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="axdebugld"



Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   axdebugl
   • "DllName"="axdebugl.dll"
   • "Startup"="axdebugl"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[%numero esadecimale%]"

 Backdoor Contatta il server:
Il seguente:
   • servername1.com/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • Miranda
   • Internet Explorer
   • Mozilla
   • Maxthon
   • The Bat
   • Msn
   • Icq
   • Opera

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • e-gold.com

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: axdebugl.sys

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Sergiu Oprea su lunedì 10 aprile 2006
Descrizione aggiornata da Sergiu Oprea su martedì 11 aprile 2006

Indietro . . . .