Nome del virus:TR/Proxy.Lager.AQ.9
Scoperto:07/04/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:51.603 Byte
Somma di controllo MD5:4c5251efd0bae37655d169065206519f
Versione VDF:6.34.00.165

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica un file
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\zlbw.dll

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\log.txt

%SYSDIR%\taskdir.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Proxy.Lager.AQ.1




Prova a scaricare un file:

– La posizione è la seguente:
   • http://216.255.179.238/new/cntr/bin/**********
Viene salvato in locale sotto: %SYSDIR%\taskdir~.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%numero esadecimale%
   • "ColorTable20"=dword:%numero esadecimale%

 Backdoor Contatta il server:
Tutti i seguenti:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Nome del computer
    • Stato corrente del malware


Capacità di controllo remoto:
    • Inviare email

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: taskdir.dll

    Nome del processo:
   • %tutti i processi iniziati dopo l'attivazione del malware nella
      memoria%


 Varie Mutex:
Crea il seguente Mutex:
   • _alanchum

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:

– File che contengono la seguente sottostringa nei loro nomi file:
   • taskdir

– Processi che contengono la seguente sottostringa nei loro nomi:
   • taskdir

– Il seguente valore di registro:
   • taskdir


Metodo utilizzato:
    • Nascosto dalle Windows API

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Daniel Constantin su venerdì 7 aprile 2006
Descrizione aggiornata da Daniel Constantin su mercoledì 12 aprile 2006

Indietro . . . .