Nome del virus:TR/Spy.Haxspy.AP
Scoperto:19/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:26.332 Byte
Somma di controllo MD5:3f74b3177428e511150E49584d25e150
Versione VDF:6.35.00.184
Versione IVDF:6.35.00.224

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ap
   •  TrendMicro: TSPY_HAXSPY.AP


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\ksl48.bin

%SYSDIR%\satau320.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\satau325.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\satau325.sys"
   • "DisplayName"="SATA bus driver"

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Enum]
   • "0"="Root\\LEGACY_SATAU325\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   satau320]
   • DllName=satau320.dll
   • Startup=satau320
   • Impersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • "nk48id"="[%valori esadecimali%]"

 Backdoor Contatta il server:
Il seguente:
   • http://dasterban1972.info/corpse/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • Internet Explorer
   • MyIE
   • miranda
   • Mozilla
   • Maxthon
   • The Bat
   • Outlook Express
   • MSN
   • ICQ
   • Opera

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • E-gold
   • %qualunque sito web che contenga una form di login%

– Cattura:
    • Informazioni della finestra
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\satau320.dll

    Tutti i seguenti processi:
   • explorer.exe
   • iexplore.exe
   • opera.exe
   • myie.exe
   • mozilla.exe
   • thebat.exe
   • outlook.exe
   • msn.exe
   • icq.exe
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%



Purpose:
L'accesso ai seguenti siti web è effettivamente bloccato:
   • updates1.kaspersky-labs.com; customer.symantec.com;
      download.mcafee.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com; avp.com;
      avp.ru; awaps.net; downloads3.kaspersky-labs.com; dispatch.mcafee.com;
      downloads4.kaspersky-labs.com; avp.ch; updates1.kaspersky-labs.com;
      updates2.kaspersky-labs.com; virustotal.com;
      updates3.kaspersky-labs.com; d-ru-2f.kaspersky-labs.com;
      updates3.kaspersky-labs.com; updates4.kaspersky-labs.com;
      updates5.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
      engine.awaps.net; f-secure.com; ftp.avp.ch;
      ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
      d-eu-1f.kaspersky-labs.com; rads.mcafee.com;
      d-eu-2f.kaspersky-labs.com; liveupdate.symantec.com;
      d-us-1f.kaspersky-labs.com; ftp.sophos.com; ids.kaspersky-labs.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

– I seguenti file:
   • sc02.ies4
   • satau320.dll
   • sc03.ies4
   • satau325.sys
   • sc01.ies4


Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • NtCreateProcess
   • ZwCreateProcess
   • NtCreateProcessEx
   • ZtCreateProcessEx
   • NtQueryDirectoryFile
   • ZwQueryDirectoryFile

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 2.0

Descrizione inserita da Victor Tone su lunedì 31 luglio 2006
Descrizione aggiornata da Victor Tone su lunedì 31 luglio 2006

Indietro . . . .