Nome del virus:Worm/Zhelatin.ZI
Scoperto:22/07/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:No
Dimensione del file:90624 Byte
Somma di controllo MD5:a9d0ed60fec2530a497554de364d5693
Versione IVDF:7.00.05.148 - martedì 22 luglio 2008

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.aep
   •  Bitdefender: Dropped:Rootkit.Agent.AITJ


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file

 File Vengono creati i seguenti file:

%WINDIR%\glok+serv.config Questo è un file di testo “non maligno” con il seguente contenuto:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400
     

%WINDIR%\glok+22bd-6274.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Riconosciuto come: TR/Rootkit.Gen

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\System\ControlSet001\Services\glok+b89-6227
   • %WINDIR%\glok+b89-6227.sys

 Invio di messaggi Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
      ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– I propri file
– Le proprie chiavi di registro

– I seguenti file:
   • glok+22bd-6274.sys
   • glok+serv.config

– Le seguenti chiavi di registro:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000


Metodo utilizzato:
    • Nascosto dalla Interrupt Descriptor Table (IDT)

“Aggancia” le seguenti funzioni API:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Viktor Graeber su martedì 22 luglio 2008
Descrizione aggiornata da Viktor Graeber su martedì 22 luglio 2008

Indietro . . . .