Nome del virus:TR/PSW.Small.BS.2
Scoperto:12/09/2006
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:12.592 Byte
Somma di controllo MD5:978ded8c7055e4c5e650600D2fcc0C3f
Versione VDF:6.35.01.216
Versione IVDF:6.35.01.220 - mercoledì 13 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\9129837.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%WINDIR%\hide_evr2.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.Small.BS.3

%directory di esecuzione del malware%\a.bat Questo file automatico è utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%stringa di caratteri casuale%
   • "k2"=%stringa di caratteri casuale%

 Backdoor Viene aperta la seguente porta:
su una porta UDP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Tutti i seguenti:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • %qualunque sito web che contenga una form di login%

– Cattura:
    • Informazioni della finestra
    • Finestra del browser

 Tecnologia Rootkit Nasconde il seguente:
– I propri file
– Il proprio processo
– Le proprie chiavi di registro


Metodo utilizzato:
    • Nascosto dalle Windows API

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Marius T. Nicolae su venerdì 22 settembre 2006
Descrizione aggiornata da Andrei Ivanes su giovedì 19 ottobre 2006

Indietro . . . .