Nome del virus:TR/Keylogger.avk
Scoperto:29/11/2007
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:112.008 Byte
Somma di controllo MD5:a3e928635256073ca0e5b90388ee6efc
Versione VDF:7.00.01.23
Versione IVDF:7.00.01.24 - giovedì 29 novembre 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: Generic Keylogger.g trojan
   •  Kaspersky: Trojan.Win32.VB.avk
   •  F-Secure: Trojan.Win32.VB.avk
   •  Panda: Trj/Keylogger.BN


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh



Viene creato il seguente file:

– C:\s5d46a.fjg Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Nuovo valore:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   Nuovo valore:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuovo valore:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Nuovo valore:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

 Backdoor Contatta il server:
Il seguente:
   • http://www.e223pg.awardspace.co.uk/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Spazio libero su disco
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PePetite 2.2

Descrizione inserita da Monica Ghitun su giovedì 29 novembre 2007
Descrizione aggiornata da Monica Ghitun su venerdì 30 novembre 2007

Indietro . . . .