Nome del virus:TR/Click.AU
Scoperto:28/09/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:11.109 Byte
Somma di controllo MD5:e87f0271ce34b9f9491b6fd95c2e14a4
Versione VDF:6.36.00.60
Versione IVDF:6.36.00.73 - lunedì 2 ottobre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Downloader-AYN
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.c
   •  TrendMicro: PAK_Generic.002
   •  F-Secure: W32/Small.DUU
   •  Sophos: Troj/Dloadr-ANX
   •  Eset: Win32/TrojanDownloader.Agent.NHA


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\upnp.exe




Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.zxcvz.com/**********
Viene salvato in locale sotto: %temporary internet files%\Content.IE5\%directory scelta casualmente%\c.php Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "np"="%SYSDIR%\upnp.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%file eseguiti%]
– [HKCU\Software\unker\%file eseguiti%\main]
   • "cid"=%valori esadecimali%

– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
   • "cid"=%valori esadecimali%

 Backdoor Contatta il server:
Il seguente:
   • http://www.zxcvz.com/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware

 Varie Mutex:
Crea il seguente Mutex:
   • ewffefewfwjioIJOJIojioerjiogryivctyxrtio

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Monica Ghitun su giovedì 28 settembre 2006
Descrizione aggiornata da Adriana Popa su venerdì 17 novembre 2006

Indietro . . . .