Nome del virus:TR/Proxy.Horst.bl
Scoperto:19/04/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:49.664 Byte
Somma di controllo MD5:d06bf79493e4e41528f9ebf2d96a34a1
Versione VDF:6.34.00.199
Versione IVDF:6.34.00.201 - mercoledì 19 aprile 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\system\smss.exe



Vengono creati i seguenti file:

%TEMPDIR%\tmp1.tmp Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\nvsvcd.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware.



Prova a scaricare un file:

– La posizione è la seguente:
   • http://up.medbod.com/up/**********?jaal-1_%numero%_%numero%
Viene salvato in locale sotto: %TEMPDIR%\%numero%exmodul32.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%valori esadecimali%



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%numero esadecimale%"
   • "Pid"=dword:00000c88

 Email Da:
Indirizzi recuperati da internet. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi recuperati da internet.


Corpo dell'email:
– Contiene codice HTML.
I contenuti sono come nel file: http://seekj.lootseek.com/d/**********



L’email si presenta come di seguito:


 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: info.cabmun.**********
Porta: 5190
Nickname: jaal-1_%numero%_%numero%

Server: up.barmuz.**********
Porta: 1021
Nickname: jaal-1_%numero%_%numero%


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file

 Backdoor Contatta il server:
Il seguente:
   • http://rc.rizalof.com/**********?version=%numero%



Invia informazioni riguardanti:
    • Stato corrente del malware

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Ionut Slaveanu su mercoledì 14 giugno 2006
Descrizione aggiornata da Ionut Slaveanu su mercoledì 28 giugno 2006

Indietro . . . .