Nome del virus:TR/Norip.1
Scoperto:20/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:89.911 Byte
Somma di controllo MD5:c38df15f1aae333a7dac39cb9646ed55
Versione VDF:6.35.00.195
Versione IVDF:6.35.00.235

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\LSASS.EXE
   • %WINDIR%\EXERT.EXE
   • %WINDIR%\Debug\DebugProgram.exe

   • %SYSDIR%\MSCONFIG.EXE
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com

   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.COM
   • %PROGRAM FILES%\Common Files\INTEXPLORE.PIF



Può corrompere i seguenti file:
   • RAVMON.EXE
   • TROJDIE*
   • KPOP*
   • CCENTER*
   • *ASSISTSE*
   • KPFW*
   • AGENTSVR*
   • KV*
   • KREG*
   • IEFIND*
   • IPARMOR*
   • SVI.EXE
   • UPHC*
   • RULEWIZE*
   • FYGT*
   • RFWSRV*
   • RFWMA*

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ToP = %WINDIR%\LSASS.exe



Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\WindowFiles]

– [HKCR\WindowFiles\DefaultIcon]
   • @ = %1

– [HKCR\WindowFiles\Shell]

– [HKCR\WindowFiles\Shell\Open]

– [HKCR\WindowFiles\Shell\Open\Command]
   • @ = %WINDIR%\EXERT.exe "%1" %*



Vengono cambiate le seguenti chiavi di registro:

– [HKCR\.exe]
   Nuovo valore:
   • @ = WindowFiles

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Valore precedente:
   • @ = %impostazioni definite dell'utente%
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • Check_Associations = %impostazioni definite dell'utente%
   Nuovo valore:
   • Check_Associations = No

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Valore precedente:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Valore precedente:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com"

– [HKCR\ftp\shell\open\command]
   Valore precedente:
   • @ = %impostazioni definite dell'utente%
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\htmlfile\shell\open\command]
   Valore precedente:
   • @ = %impostazioni definite dell'utente%
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCR\htmlfile\shell\opennew\command]
   Valore precedente:
   • @ = %impostazioni definite dell'utente%
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" %1

– [HKCR\http\shell\open\command]
   Valore precedente:
   • @ = %impostazioni definite dell'utente%
   Nuovo valore:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" -nohome

 Processi terminati Il seguente processo viene terminato:
   • RAVMON.EXE

I processi che contengono una delle seguenti stringhe vengono terminati:
   • TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
      IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Backdoor Contatta il server:
Uno dei seguenti:
   • http://upd.etsoft.com.cn/UPD/**********
   • http://upd.etsoft.com.cn/upd/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 28 luglio 2006
Descrizione aggiornata da Andrei Gherman su venerdì 28 luglio 2006

Indietro . . . .