Descrizione completa

Nome del virus:	TR/PSW.Maran.G.5
Scoperto:	02/08/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	52.599 Byte
Somma di controllo MD5:	c851c808d7a10F0E45a7f0771b152a64
Versione VDF:	6.35.01.35
Versione IVDF:	6.35.01.35

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

File Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro Viene aggiunta la seguente chiave di registro:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valori esadecimali%

Vengono cambiate le seguenti chiavi di registro:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Nuovo valore:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Nuovo valore:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valori esadecimali%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Nuovo valore:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valori esadecimali%

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Marius T. Nicolae su lunedì 18 settembre 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 18 ottobre 2006

Indietro . . . .