Nome del virus:TR/PSW.Bedruger.2
Scoperto:27/06/2005
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:23.184 Byte
Somma di controllo MD5:b49d3526ce011d76063d8081333a9ef4
Versione VDF:6.31.00.112

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\SVCH0ST.EXE



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– File “non maligno”:
   • %SYSDIR%\mmdat.dat

%SYSDIR%\ntdll32.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Agent.GD

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Viene cambiata la seguente chiave di registro:

– [HKCR\exefile\shell\open\command]
   Valore precedente:
   • @="\"%1\" %*"
   Nuovo valore:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
L'indirizzo del mittente è falso.
Il mittente della mail è il seguente:
   • mimathief@mimathief.com


A:
Il destinatario dell'email è il seguente:
   • vicimax@163.com


Oggetto:
Il seguente:
   • %testo in cinese%



Corpo dell'email:


Il corpo dell’email è come il seguente:

   • %testo in cinese% : %informazioni sottratte%
     %URL visitato%
     %testo in cinese% : %informazioni sottratte%
     %testo in cinese% : %informazioni sottratte%



L’email si presenta come di seguito:


 Invio di messaggi Server MX:
Non utilizza il server MX standard.
Ha la capacità di contattare il server MX:
   • 163.com

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • %qualunque sito web che contenga una form di login%

– Cattura:
    • Informazioni della finestra
    • Finestra del browser
    • Informazioni di login

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\ntdll32.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Varie Mutex:
Crea il seguente Mutex:
   • MimaThief

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PEcompact

Descrizione inserita da Gabriel Mustata su venerdì 10 novembre 2006
Descrizione aggiornata da Gabriel Mustata su giovedì 16 novembre 2006

Indietro . . . .