Nome del virus:TR/Spy.Bancodor.AB
Scoperto:12/04/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:41.472 Byte
Somma di controllo MD5:62417a81023a5ae1dfce61709824d49b
Versione VDF:6.34.00.176

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Bancodor.ab
   •  TrendMicro: TSPY_AGENT.BRF
   •  Bitdefender: Trojan.Spy.Bancodor.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Common Files\System\lsass.exe



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%stringa di caratteri casuale%.tmp.log

%SYSDIR%\divx.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

%SYSDIR%\winaupd.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Bancodo.AB.2

%SYSDIR%\xvid.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Bancodo.AB.4

%SYSDIR%\nUn.b Contiene parametri utilizzati dal malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Nuovo valore:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valore precedente:
   • Start = %impostazioni definite dell'utente%
   Nuovo valore:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Valore precedente:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Nuovo valore:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • SFCDisable = 0
   Nuovo valore:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Internet Explorer]
   Nuovo valore:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Nuovo valore:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Nuovo valore:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Nuovo valore:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Nuovo valore:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Nuovo valore:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Nuovo valore:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Nuovo valore:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Nuovo valore:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • SeparateProcess = 0

 Processi terminati Lista dei processi che vengono terminati:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe


 Backdoor Contatta il server:
Il seguente:
   • http://www.southsea.cc/news/**********

Come risultato può inviare alcune informazioni. Inoltre periodicamente ripete la connessione. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.
La risposta dei server è scritta nel file: %SYSDIR%\xvid.ini


Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • File LOG creati
    • Variabili d'ambiente
    • Stato corrente del malware
    • Informazioni sui processi in corso
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • %qualunque sito web che contenga una form di login%

– Cattura:
    • Informazioni della finestra
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\xvid.dll

    Nome del processo:
   • %tutti i processi iniziati dopo l'attivazione del malware nella
      memoria%


 Varie Mutex:
Crea il seguente Mutex:
   • _Toolbar_Class_32


File patching:
Ha la capacità di modificare il file sfc_os.dll alla riga 0000E2B8 con lo scopo di disabilitare la Windows File Protection (WFP). Con il WFP si intende evitare alcuni dei problemi comuni che causano incompatibilità tra le DLL.

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio processo

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su giovedì 13 aprile 2006
Descrizione aggiornata da Andrei Gherman su giovedì 13 aprile 2006

Indietro . . . .