Nome del virus:TR/PSW.Small.BS.3
Scoperto:12/09/2006
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:24.236 Byte
Somma di controllo MD5:782aa60074ea0620b2c974bf9f17507a
Versione VDF:6.35.01.216
Versione IVDF:6.35.01.220 - mercoledì 13 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Spy-Agent.bg


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\9129837.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%WINDIR%\hide_evr2.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Small.BS.3

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valori esadecimali%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %numero esadecimale%
   • k2 = %numero esadecimale%



Viene cambiata la seguente chiave di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • Start = %impostazioni definite dell'utente%
   Nuovo valore:
   • Start = 4

 Processi terminati  Il seguente servizio viene disattivato:
   • Security Center

 Backdoor Viene aperta la seguente porta:

%WINDIR%\9129837.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 5.


Contatta il server:
Tutti i seguenti:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Porta aperta
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte


Capacità di controllo remoto:
    • Download di file
    • Eseguire file

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password
– Le password registrate utilizzate dalla funzione di completamento automatico

 Tecnologia Rootkit Nasconde il seguente:
– Il proprio processo

– I seguenti file:
   • 9129837.exe
   • hide_evr2.sys

– Il seguente valore di registro:
   • ttool


Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su mercoledì 27 settembre 2006
Descrizione aggiornata da Andrei Gherman su mercoledì 27 settembre 2006

Indietro . . . .