Nome del virus:Worm/Traxgy.B
Scoperto:30/08/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:57.344 Byte
Versione IVDF:6.31.01.196 - martedì 30 agosto 2005

 Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Unità di rete mappata


Alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %unità disco%:\WINDOWS.EXE
   • %unità disco%:\ghost.bat
   • %tutte le directory%\%nome della directory corrente%.exe



Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %WINDIR%\\system\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\fonts\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\\temp\ Utilizzando uno dei seguenti nomi:
   • %numero esadecimale%.com

– A: %WINDIR%\help\ Utilizzando uno dei seguenti nomi:
   • \%numero esadecimale%.com




Vengono creati i seguenti file:

– File “non maligno”:
   • %tutte le directory%\desktop.ini

– A:\NetHood.htm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

%unità disco%:\NetHood.htm Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

%tutte le directory%\folder.htt Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Zapchast.B

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numero esadecimale%.com
   • TempCom = %WINDIR%\fonts\%numero esadecimale%.com
   • TempCom = %WINDIR%\\temp\%numero esadecimale%.com
   • TempCom = %WINDIR%\help\%numero esadecimale%.com



Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • fullpath = %impostazioni definite dell'utente%
   Nuovo valore:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • HideFileExt = %impostazioni definite dell'utente%
   • Hidden = %impostazioni definite dell'utente%
   Nuovo valore:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • %testo in cinese%



Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %testo in cinese% Document.exe %testo in cinese%


File allegato:
Il nome del file allegato è:
   • Document.exe

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Andrei Gherman su venerdì 21 settembre 2007
Descrizione aggiornata da Andrei Gherman su venerdì 21 settembre 2007

Indietro . . . .