Nome del virus:TR/Spy.Haxspy.AE
Scoperto:21/07/2006
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:10.824 Byte
Somma di controllo MD5:9471026d4c6e1911e317af28ac259a6b
Versione VDF:6.34.01.155
Versione IVDF:6.34.01.161 - martedì 30 maggio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

 File Viene creato il seguente file:

%SYSDIR%\wndtx1.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Bolol.A.4

%SYSDIR%\ipudpb2.sys Riconosciuto come: TR/Spy.Haxspy.AE

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%stringa di caratteri casuale%[%nome utente corrente% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Valore precedente:
   • "PendingFileRenameOperations"=%valori esadecimali%
   Nuovo valore:
   • "PendingFileRenameOperations"=%valori esadecimali%

 Backdoor Contatta il server:
Il seguente:
   • http://www.salidol.biz/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Utente corrente
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • http://www.e-gold.com
   • %qualunque sito web HTTPS che contiene una form di login%

– Cattura:
    • Informazioni della finestra
    • Finestra del browser
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\wndtx1.dll

    Tutti i seguenti processi:
   • iexplore.exe
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:


Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • NtCreateProcess
   • NtCreateProcessEx
   • ZwCreateProcess
   • ZwCreateProcessEx

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Monica Ghitun su venerdì 21 luglio 2006
Descrizione aggiornata da Monica Ghitun su mercoledì 2 agosto 2006

Indietro . . . .