Nome del virus:TR/Virtumonde.26730
Scoperto:02/04/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:26730 Byte
Somma di controllo MD5:731396df61f1cedc2b70ab33ebb0c0b3
Versione VDF:6.38.00.161
Versione IVDF:6.38.00.165 - martedì 3 aprile 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa casuale di cinque caratteri%.dll




Prova a scaricare un file:

– La posizione è la seguente:
   • http://89.188.16.15/ths/lo1.dll**********
Viene salvato in locale sotto: %SYSDIR%\%stringa casuale di cinque caratteri%.dll Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%ora corrente%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%directory di esecuzione del malware%\%file eseguiti%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%numero esadecimale%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %file eseguiti%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%file eseguiti%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000



Vengono cambiate le seguenti chiavi di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "1A10"=%impostazioni definite dell'utente%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%numero esadecimale%

 Backdoor Contatta il server:
Il seguente:
   • http://65.243.103.80/80/67247**********&t=%data corrente%**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • Explorer.exe
   • Winlogon.exe
   • %processi con finestre visibili%


 Varie Mutex:


Crea uno dei seguenti Mutex:
   • _ConsprMutx
   • awx_mutant

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Monica Ghitun su giovedì 19 aprile 2007
Descrizione aggiornata da Monica Ghitun su giovedì 19 aprile 2007

Indietro . . . .