Nome del virus:ADSPY/Virtumonde.B
Scoperto:14/06/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:47.629 Byte
Somma di controllo MD5:5b00c4a26bfb132b7c5b8692949d227b
Versione VDF:6.35.00.23
Versione IVDF:6.35.00.29 - giovedì 15 giugno 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Clona un file “maligno”
   • Accesso e controllo del computer da parte di terzi

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\%stringa casuale di sette caratteri%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/Virtumonde.B

%TEMPDIR%\removalfile.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%stringa casuale di sette caratteri%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%stringa casuale di sette caratteri%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\%stringa casuale di sette caratteri%.dll

    Tutti i seguenti processi:
   • explorer.exe
   • WINLOGON.EXE


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– I propri file

Descrizione inserita da Marius T. Nicolae su mercoledì 6 settembre 2006
Descrizione aggiornata da Andrei Ivanes su martedì 5 dicembre 2006

Indietro . . . .