Nome del virus:Worm/Ntech.D
Scoperto:13/08/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:20.992 Byte
Somma di controllo MD5:DFADE0D9B21BE4FD57DD6975D9FE7CCD
Versione IVDF:6.39.00.233 - lunedì 13 agosto 2007

 Generale Metodo di propagazione:
   • Email


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email

 File  Crea la seguente directory:
   • %WINDIR%\temp\



Sovrascrive un file.
%SYSDIR%\driver\secdrv.sys



Vengono creati i seguenti file:

%SYSDIR%\driver\runtime.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Riconosciuto come: Worm/Ntech.E

%SYSDIR%\driver\runtime2.sys Riconosciuto come: RKit/Posh.A




Prova a scaricare un file:

– La posizione è la seguente:
   • http://67.18.114.98/**********
Viene salvato in locale sotto: %TEMPDIR%\%molte cifre casuali%8.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.



Prova ad eseguire il seguente file:

– Nome del file:
   • %SYSDIR%\driver\runtime2.sys
Utilizzato per nascondere il processo dal Task Manager. Riconosciuto come: RKit/Posh.A

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Email Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
Indirizzi recuperati da internet. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi recuperati da internet.


Oggetto:
Uno dei seguenti:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

La riga dell'oggetto è vuota.
La riga dell'oggetto contiene delle lettere casuali.


Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:

   • %sostituzione 1%, %sostituzione 2%!
     
     Funny game. %sostituzione 3% fucks %sostituzione 4%... In your attachemnt.

   • %sostituzione 1%, %sostituzione 2%!
     
     Amusing game. %sostituzione 3% fucks %sostituzione 4%... In your attachemnt.


Seguito da uno dei seguenti:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%sostituzione 1% può essere esteso ad uno dei seguenti:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%sostituzione 2% può essere esteso ad uno dei seguenti:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%sostituzione 3% può essere esteso ad uno dei seguenti:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%sostituzione 4% può essere esteso ad uno dei seguenti:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


File allegato:

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Backdoor Contatta il server:
Il seguente:
   • 216.195.61.87:2581



Capacità di controllo remoto:
    • Inviare email

 Tecnologia Rootkit – I propri file
– I propri processi


Metodo utilizzato:
    • Nascosto dalla Interrupt Descriptor Table (IDT)

“Aggancia” le seguenti funzioni API:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Descrizione inserita da Viktor Graeber su lunedì 13 agosto 2007
Descrizione aggiornata da Philipp Wolf su lunedì 13 agosto 2007

Indietro . . . .