Nome del virus:BDS/Ginwui.A.4
Scoperto:22/05/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:73.245 Byte
Somma di controllo MD5:6d69ab10c2e8194465ab25cbfb96dae6
Versione VDF:6.34.01.120

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Ginwui.B
   •  Mcafee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %TEMPDIR%\20060426.bak



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\zsydll.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A.DLL

%SYSDIR%\zsyhide.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuovo valore:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 Backdoor Contatta il server:
Il seguente:
   • http://scfzf.xi**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\zsydll.dll

    Nome del processo:
   • iexplore.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su lunedì 22 maggio 2006
Descrizione aggiornata da Andrei Gherman su lunedì 22 maggio 2006

Indietro . . . .