Descrizione completa

Nome del virus:	Worm/Rindu.D
Scoperto:	28/08/2007
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio-Alto
File statico:	Si
Dimensione del file:	107.008 Byte
Somma di controllo MD5:	85eeb3645837f31308f44f9746c9bc82
Versione VDF:	6.39.01.79
Versione IVDF:	6.39.01.082

Generale Metodi di propagazione:
   • Rete locale
   • Unità di rete mappata

Alias:
   • Mcafee: W32/Ridnu.d
   • Panda: W32/Ridnu.F.drp

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

Crea la seguente directory:
   • C:\MSOCache\dlcache\

Delle sezioni vengono aggiunte ai seguenti file.
– A: %SYSDIR%\dllcache\userinit.exe Con i seguenti contenuti:
   • %file eseguiti%

– A: %SYSDIR%\dllcache\sndvol32.exe Con i seguenti contenuti:
   • %file eseguiti%

– A: %SYSDIR%\dllcache\calc.exe Con i seguenti contenuti:
   • %file eseguiti%

– A: %SYSDIR%\dllcache\notepad.exe Con i seguenti contenuti:
   • %file eseguiti%

– A: %SYSDIR%\dllcache\mspaint.exe Con i seguenti contenuti:
   • %file eseguiti%

– A: %SYSDIR%\dllcache\iexplore.exe Con i seguenti contenuti:
   • %file eseguiti%

Sovrascrive un file.
– %PROGRAM FILES%

Estensione del file:
   • *.exe

Con i seguenti contenuti:
   • %file eseguiti%

Copia i seguenti file:
    • %SYSDIR%\userinit.exe in %SYSDIR%\dllcache\userinit.exe
    • %SYSDIR%\sndvol32.exe in %SYSDIR%\dllcache\sndvol32.exe
    • %SYSDIR%\calc.exe in %SYSDIR%\dllcache\calc.exe
    • %SYSDIR%\notepad.exe in %SYSDIR%\dllcache\notepad.exe
    • %SYSDIR%\mspaint.exe in %SYSDIR%\dllcache\mspaint.exe
    • %PROGRAM FILES%\Internet Explorer\iexplore.exe in %SYSDIR%\dllcache\iexplore.exe

Viene creato il seguente file:

– %WINDIR%\media\suara.mp3

Registro Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valore precedente:
   • "RegPath"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valore precedente:
   • "UncheckedValue"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UncheckedValue"=dword:00000000

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Valore precedente:
   • "UncheckedValue"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UncheckedValue"=dword:00000001

Varie opzioni di Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valore precedente:
   • "UncheckedValue"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UncheckedValue"=dword:00000001

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Valore precedente:
   • "DisableCMD"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • "FullPathAddress"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableTaskMgr"="%impostazioni definite dell'utente%"
     "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Valore precedente:
   • @=""="%impostazioni definite dell'utente%"
     "NeverShowExt"=%impostazioni definite dell'utente%
   Nuovo valore:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • "NoFolderOptions"=%impostazioni definite dell'utente%
     "NoFind"=%impostazioni definite dell'utente%
     "NoRun"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
     "HideFileExt"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

Processi terminati I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL

Varie Condivisioni di rete:
Verranno create le seguenti condivisioni di rete:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Descrizione inserita da Monica Ghitun su lunedì 3 settembre 2007
Descrizione aggiornata da Monica Ghitun su mercoledì 5 settembre 2007

Indietro . . . .