Descrizione completa

Nome del virus:	TR/PSW.Lmir.51944
Scoperto:	11/09/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	51.963 Byte
Somma di controllo MD5:	d72a7db27962cdb93efb82737ef6cdaf
Versione VDF:	6.35.01.208
Versione IVDF:	6.35.01.212 - martedì 12 settembre 2006

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: PWS-WoW trojan
   • Kaspersky: Trojan-PSW.Win32.WOW.ih
   • TrendMicro: TSPY_WOW.LW
   • F-Secure: Trojan-PSW.Win32.WOW.ih

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

File Si copia alle seguenti posizioni:
   • %WINDIR%\LSASS.exe
   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.com
   • %PROGRAM FILES%\Common Files\INTEXPLORE.pif
   • %WINDIR%\EXERT.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\command.com

Viene creato il seguente file:

– D:\autorun.inf

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ToP"="%WINDIR%\LSASS.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
   • @="%1"

– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
   • @="%WINDIR%\EXERT.exe "%1" %*"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuovo valore:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Check_Associations"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Check_Associations"="No"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuovo valore:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\CLSID\{%CLSID%}\shell\OpenHomePage\Command]
   Valore precedente:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Nuovo valore:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com""

– [HKCR\ftp\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuovo valore:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\htmlfile\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuovo valore:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuovo valore:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" %1"

– [HKCR\http\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuovo valore:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Valore precedente:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuovo valore:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKCR\.exe]
   Valore precedente:
   • @="exefile"
   Nuovo valore:
   • @="WindowFiles"

Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
• MMSK; RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV;
KREG; IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • World of old oriental legends
   • World of Warcraft
   • Zhengtu

– Dopo aver visitato uno dei seguenti siti web viene avviata una procedura di “tracciamento”:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su lunedì 25 settembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 25 settembre 2006

Indietro . . . .