Nome del virus:TR/Nichgig
Scoperto:28/06/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:10.901 Byte
Somma di controllo MD5:62c776499583a39c3e613ead52e23c9c
Versione VDF:6.35.00.87
Versione IVDF:6.35.00.95 - giovedì 29 giugno 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Gobrena
   •  Mcafee: PWS-Goldun.dr
   •  Kaspersky: Trojan-Spy.Win32.Goldun.mf
   •  F-Secure: Trojan-Spy.Win32.Goldun.mf
   •  VirusBuster: TrojanSpy.Goldun.LG
   •  Eset: Win32/Spy.Goldun.LX


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

 File  Crea la seguente directory:
   • %TEMPDIR%\4185XXXX



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\4185XXXX\%numero%.tmp

%SYSDIR%\hdtvu6.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Goldun.ME

%SYSDIR%\nkudpn1.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Nichgig

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%valori esadecimali%



Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%numero%[%current user%]"

 Backdoor Contatta il server:
Il seguente:
   • www.proxyland.net/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
    • Informazioni sul sistema operativo Windows

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • https://www.e-gold.com/acct/login.html

– Cattura:
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\hdtvu6.dll

    Nome del processo:
   • %tutti i processi iniziati dopo l'attivazione del malware nella
      memoria%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Teodor Onisor su martedì 19 settembre 2006
Descrizione aggiornata da Teodor Onisor su mercoledì 20 settembre 2006

Indietro . . . .