Nome del virus:TR/Hijack.Explor.1
Scoperto:28/06/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:45.056 Byte
Somma di controllo MD5:f508e5a83c339e32a4e0d1185873dea2
Versione VDF:6.35.00.88
Versione IVDF:6.35.00.99 - venerdì 30 giugno 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Small.ez
   •  TrendMicro: TROJ_SMALL.DEF
   •  F-Secure: Trojan-Proxy.Win32.Small.ez
   •  Grisoft: Proxy.FRE
   •  Eset: Win32/Agent.PA


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\svcroot.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe svcroot.exe"

 Backdoor Le seguenti porte sono aperte:

– iexplore.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.
– iexplore.exe sulla porta TCP 5050 con lo scopo di procurarsi una condivisione remota.


Contatta il server:
Il seguente:
   • http://www.site.ru/socks/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Nome del computer
    • Velocità della CPU
    • Uptime del malware
    • Porta aperta
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • iexplore.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Tecnologia Rootkit Nasconde il seguente:
– Le proprie chiavi di registro


Metodo utilizzato:
    • Nascosto dalle Windows API

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su mercoledì 25 ottobre 2006
Descrizione aggiornata da Adriana Popa su mercoledì 25 ottobre 2006

Indietro . . . .