Nome del virus:Worm/Khanani.A
Scoperto:28/01/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:147.456 Byte
Somma di controllo MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Versione IVDF:7.00.02.61 - lunedì 28 gennaio 2008

 Generale Metodi di propagazione:
   • Unità di rete mappata
   • Peer to Peer


Alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %unità disco%:\autoply.exe



Delle sezioni vengono aggiunte ai seguenti file.
– A: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Con i seguenti contenuti:
   • %codice che avvia malware%

– A: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Con i seguenti contenuti:
   • %codice che avvia malware%

– A: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Con i seguenti contenuti:
   • %codice che avvia malware%




Vengono creati i seguenti file:

– File “non maligni”:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%unità disco%:\Autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Il file è un task pianificato che esegue il malware in certe ore predefinite.
%WINDIR%\tasks\at2.job Il file è un task pianificato che esegue il malware in certe ore predefinite.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • Hidden = %impostazioni definite dell'utente%
   • HideFileExt = %impostazioni definite dell'utente%
   • ShowSuperHidden = %impostazioni definite dell'utente%
   Nuovo valore:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • Nofolderoptions = 1

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   Se riuscito, i seguenti file vengono creati:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Questi file sono copie del malware stesso.



La directory condivisa potrebbe presentarsi come la seguente:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Gherman su lunedì 16 giugno 2008
Descrizione aggiornata da Andrei Gherman su lunedì 16 giugno 2008

Indietro . . . .