Nome del virus:TR/Small.DBY.AF.3
Scoperto:14/02/2007
Tipo:Trojan
Sottotipo:SPY
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:37.747 Byte
Somma di controllo MD5:8617ab4e033c0853cf1766de30cf6589
Versione VDF:6.37.01.91
Versione IVDF:6.37.01.92 - mercoledì 14 febbraio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file

 File Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\wincom32.ini

%SYSDIR%\wincom32.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Small.DBY.M.1

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 “Infezione” della rete Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: wincom32.sys

    Nome del processo:
   • %SYSDIR%\services.exe


 Tecnologia Rootkit Nasconde il seguente:
– I propri file
– La propria chiave di registro


Metodo utilizzato:
    • Nascosto dalle Windows API

“Aggancia” le seguenti funzioni API:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PEPACK

Descrizione inserita da Viktor Graeber su mercoledì 25 aprile 2007
Descrizione aggiornata da Viktor Graeber su venerdì 27 aprile 2007

Indietro . . . .